Partage
Partager via Facebook
Partager via Messenger
Partager via Twitter
Partager via LinkedIn
Partager via What'sapp
Partager via courriel
PDF
Des pirates guettent le mouvement de la souris pour attaquer
Crédit Photo: D.RLes chercheurs du fournisseur de solutions de sécurité ESET ont trouvé une attaque via un malware, qui échappe au filtrage d'URL en vérifiant la présence de déplacement de la souris.
Article lemondeinformatique
L'imagination des pirates n'a pas de limites comme ont pu le constater des spécialistes de la sécurité de chez ESET. Des attaques en drive by download ont été repérées sur le web russe et ne nécessitent pas d'interaction utilisateur pour infecter les ordinateurs avec les logiciels malveillants. La plupart des des attaques de ce type s'appuient sur des codes cachés, qui sont intégrés dans les sites webs, pour rediriger les visiteurs vers une page compromise. Cependant, les sites analysés par les chercheurs ne comprennent pas ces éléments cachés.
Au lieu de cela, un code JavaScript est ajouté aux fichiers locaux JS qui chargent la section « head » de chaque page HTML. Cela rend l'infection plus difficile à repérer explique les chercheurs en sécurité d'ESET dans un billet de blog. Le chargement d'un code JavaScript sur cet élément est une pratique très courante et n'est pas révélateur d'une compromission. Le code malveillant charge un fichier local JS depuis un site externe, mais seulement si le mouvement de la souris est détecté sur la page. Cette méthode est utilisée pour contourner le filtrage d'URL mis en oeuvre par les fournisseurs de solutions de sécurité afin de détecter les sites web compromis.
Une méthode simple, mais efficace
Il s'agit d'une technique simple, mais cela montre que les cybercriminels sont à la recherche des moyens plus proactifs pour différencier les visites humaines de celles des robots des fournisseurs de solutions de sécurité, afin qu'ils puissent garder leurs attaques inaperçues pendant une plus longue période, expliquent les chercheurs d'ESET. « Il s'agit d'une évolution naturelle des attaques de type drive by download d'inclure du code malveillant pour détecter l'activité de l'utilisateur. »
Si le code détermine que la demande provient d'un utilisateur réel, alors le JavaScript injecte à la volée un iframe dans la page HTML, qui charge des attaques provenant de la boîte à outil Pack Nuclear. Cette dernière utilise des vulnérabilités sur des versions non corrigées de plug-in Java, Acrobat Reader ou Flash Player d'Adobe, pour exécuter du code à distance et infecter les ordinateurs.
Dans le cas trouvé par les chercheurs, l'installation de Nuclear Pack tente d'exploiter la vulnérabilité CVE-2012-0507 Java, qui a été patchée pour Windows en février dernier et pour Mac la semaine dernière, ainsi qu'une faille un peu plus vieille dans Adobe Reader, la CVE-2010-0188.
L'imagination des pirates n'a pas de limites comme ont pu le constater des spécialistes de la sécurité de chez ESET. Des attaques en drive by download ont été repérées sur le web russe et ne nécessitent pas d'interaction utilisateur pour infecter les ordinateurs avec les logiciels malveillants. La plupart des des attaques de ce type s'appuient sur des codes cachés, qui sont intégrés dans les sites webs, pour rediriger les visiteurs vers une page compromise. Cependant, les sites analysés par les chercheurs ne comprennent pas ces éléments cachés.
Au lieu de cela, un code JavaScript est ajouté aux fichiers locaux JS qui chargent la section « head » de chaque page HTML. Cela rend l'infection plus difficile à repérer explique les chercheurs en sécurité d'ESET dans un billet de blog. Le chargement d'un code JavaScript sur cet élément est une pratique très courante et n'est pas révélateur d'une compromission. Le code malveillant charge un fichier local JS depuis un site externe, mais seulement si le mouvement de la souris est détecté sur la page. Cette méthode est utilisée pour contourner le filtrage d'URL mis en oeuvre par les fournisseurs de solutions de sécurité afin de détecter les sites web compromis.
Une méthode simple, mais efficace
Il s'agit d'une technique simple, mais cela montre que les cybercriminels sont à la recherche des moyens plus proactifs pour différencier les visites humaines de celles des robots des fournisseurs de solutions de sécurité, afin qu'ils puissent garder leurs attaques inaperçues pendant une plus longue période, expliquent les chercheurs d'ESET. « Il s'agit d'une évolution naturelle des attaques de type drive by download d'inclure du code malveillant pour détecter l'activité de l'utilisateur. »
Si le code détermine que la demande provient d'un utilisateur réel, alors le JavaScript injecte à la volée un iframe dans la page HTML, qui charge des attaques provenant de la boîte à outil Pack Nuclear. Cette dernière utilise des vulnérabilités sur des versions non corrigées de plug-in Java, Acrobat Reader ou Flash Player d'Adobe, pour exécuter du code à distance et infecter les ordinateurs.
Dans le cas trouvé par les chercheurs, l'installation de Nuclear Pack tente d'exploiter la vulnérabilité CVE-2012-0507 Java, qui a été patchée pour Windows en février dernier et pour Mac la semaine dernière, ainsi qu'une faille un peu plus vieille dans Adobe Reader, la CVE-2010-0188.
PAUL-ANTOINE BISGAMBIGLIA | Mise à jour le 12/04/2012