Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Un malware joue à cache-cache avec les bots grâce à du JavaScript
Les techniques cybercriminelles sont de plus en plus proactives

Le , par Gordon Fowler

0PARTAGES

4  0 
Dans la famille des malwares qui innovent, les laboratoires de l’éditeur ESET viennent de faire une « bonne » pioche.

Ses chercheurs ont en effet identifié un programme malicieux capable de se cacher lorsque le site qu'il infecte est scanné par le bot d'un éditeur.

En résumé, le malware fait appel à du code JavaScript injecté dans l'en-tête du site. Ce fichier a pour seul but de détecter le mouvement de la souris. Si la souris ne bouge pas, l'attaquant en déduit qu'il s'agit d'une visite « non humaine ». Et rien ne se passe.

Dans le cas contraire, le malware reconnaît un humain - invalide l'hypothèse d'un bot - et appelle un autre fichier JavaScript, malicieux également, qui injecte alors un iFrame corrompu dans la page pour rediriger le visiteur non protégé vers un site tiers.

La deuxième étape de l'attaque exploitait une faille – aujourd’hui corrigée – de Java et d'Adobe Reader.


Code analysé par ESET

D'après l'éditeur, ce nouvel exemple de code « intelligent » serait représentatif de la tendance actuelle dans l'univers des malwares. « C'est une évolution naturelle du drive-by download (NDR : téléchargement clandestin qui s'ajoute à un téléchargement demandé) que d'inclure [...] des techniques proactives pour détecter l'activité d'un vrai utilisateur et de contrer les systèmes d'identification de malwares », explique ESET.

Une tendance très complémentaire de l'exploitation des nouvelles potentialités du HTML5. Et une preuve supplémentaire de l'imagination débordante des cybers-pirates (qui avaient été parmi les premiers à prendre conscience de la puissance du Cloud pour leurs méfaits).

Source : ESET

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Nathanael Marchand
Rédacteur https://www.developpez.com
Le 03/05/2012 à 15:45
Citation Envoyé par Xinu2010 Voir le message
Avec l'avènement du html5/js, ce genre de pratique va se multiplier et toucher de plus en plus de plateforme
Oui mais ca serait bien inoffensif si derrière il n'y avait pas une faille dans Java ou Adobe Reader...
4  1 
Avatar de elias551
Membre du Club https://www.developpez.com
Le 04/05/2012 à 1:08
Citation Envoyé par Nathanael Marchand Voir le message
Oui mais ca serait bien inoffensif si derrière il n'y avait pas une faille dans Java ou Adobe Reader...
Au pwn2own y'avait pas de plugin quand ils ont cracké la sandbox de chrome

Le meilleur moyen de contrer ca c'est de bloquer les scripts exterieurs au site visité. Ca complique la navigation parfois mais y'a pas plus efficace...
3  1 
Avatar de Xinu2010
Membre averti https://www.developpez.com
Le 03/05/2012 à 15:41
Avec l'avènement du html5/js, ce genre de pratique va se multiplier et toucher de plus en plus de plateforme
2  1 
Avatar de ernestrenan
Membre régulier https://www.developpez.com
Le 04/05/2012 à 9:34
Maintenant qu'on le sait il ne suffit aux bots d'émuler des actions utilisateurs. puis les pirates trouveront d'autres moyens de se cacher qu'on découvrira encore qui les forcera à en inventer encore d'autres. Ce jeu de chat et souris dure depuis des siècles : dès qu'on invente une protection quelqu'un la casse, dès qu'on trouve une nouvelle manière de frauder des gens cherchent à la contrer.
1  0 
Avatar de BPiero
Membre actif https://www.developpez.com
Le 09/05/2012 à 16:39
Je vois pas le rapport, ni avec html5, ni avec le cloud. ce type de code aurai pu fonctionner dès 1996. Rien de novateur.
1  0 
Avatar de Pelote2012
Membre chevronné https://www.developpez.com
Le 10/05/2012 à 11:41
si je me rappelle bien mon premier cours de sécurité, le prof a dit : La sécurité absolu n'existera jamais.

Les pirates ont toujours plusieurs tours d'avance. On ne peut qu'espérer que les éditeurs se rendent comptes rapidement des différentes failles. Mais bon, même quand le programme est bien verrouillé, ils arrivent à faire tomber la machine...

Bon allez, je ne vais pas me démoraliser
0  0 
Avatar de Mishulyna
Traductrice https://www.developpez.com
Le 14/05/2012 à 14:11
Citation Envoyé par BROWNY Voir le message
si je me rappelle bien mon premier cours de sécurité, le prof a dit : La sécurité absolu n'existera jamais.

Les pirates ont toujours plusieurs tours d'avance. On ne peut qu'espérer que les éditeurs se rendent comptes rapidement des différentes failles. Mais bon, même quand le programme est bien verrouillé, ils arrivent à faire tomber la machine...

Pendant ce temps Avast! s'amuse à bloquer mon éditeur SQL sous pgAdmin (et encore il est gentil, Kaspersky bloquait tout outil de développement) et IE empêche l'exécution de mes applications web sur localhost ("Internet Explorer a bloque cette fenêtre pour proteger votre ordinateur". Pfff...
0  0