Pour l'instant, les détails sur le mode opératoire de Wirenet.1 et sa technique de propagation sont rares, mais Dr Web indique que le programme qui utilise des portes dérobées cible les mots de passe des navigateurs Opera, Firefox, Chrome, Chromium, et des applications comme Thunderbird, SeaMonkey, ou encore Pidgin.
Windows délaisser pour éviter les spécialistes de la sécurité
Sous Linux, le Trojan s'autoduplique dans le répertoire ~ /WIFIADAPT avant de tenter de se connecter à un serveur de commande et de contrôle hébergé à l'adresse 212.7.208.65 via un canal AES crypté. Cela permet au minimum de bloquer facilement la communication et tout autre échange de données avec le serveur. On ne sait pas si les capacités multi-plateformes de Wirenet vont jusqu'à lui permettre de cibler les systèmes Windows. Mais il est possible que ce choix d'éviter l'OS de Microsoft permette au Trojan de rester à l'écart des radars des entreprises de sécurité.
Le malware multiplateforme est rare, mais pas inconnu. En général, sa technique d'attaque consiste à se brancher sur Java pour piéger des victimes sous OS X. Par contre, on n'a jamais rencontré de malware de ce type spécifiquement conçu pour dérober des informations d'identification sous les systèmes Linux. Mais cette nouvelle découverte change un peu les choses, et il n'est pas impossible que la méthode soit reproduite à l'avenir. « Nous n'avons pas la preuve explicite que Wirenet utilise Java. À ma connaissance, ce n'est pas le cas. Le fichier nous a été transmis par le service de scan en ligne Virustotal » a déclaré à Techworld Igor Zdobnov, analyste chez Dr Web.