Un malware joue à cache-cache avec les bots grâce à du JavaScript
Les techniques cybercriminelles sont de plus en plus proactives

Le , par Gordon Fowler, Expert éminent sénior
Dans la famille des malwares qui innovent, les laboratoires de l’éditeur ESET viennent de faire une « bonne » pioche.

Ses chercheurs ont en effet identifié un programme malicieux capable de se cacher lorsque le site qu'il infecte est scanné par le bot d'un éditeur.

En résumé, le malware fait appel à du code JavaScript injecté dans l'en-tête du site. Ce fichier a pour seul but de détecter le mouvement de la souris. Si la souris ne bouge pas, l'attaquant en déduit qu'il s'agit d'une visite « non humaine ». Et rien ne se passe.

Dans le cas contraire, le malware reconnaît un humain - invalide l'hypothèse d'un bot - et appelle un autre fichier JavaScript, malicieux également, qui injecte alors un iFrame corrompu dans la page pour rediriger le visiteur non protégé vers un site tiers.

La deuxième étape de l'attaque exploitait une faille – aujourd’hui corrigée – de Java et d'Adobe Reader.


Code analysé par ESET

D'après l'éditeur, ce nouvel exemple de code « intelligent » serait représentatif de la tendance actuelle dans l'univers des malwares. « C'est une évolution naturelle du drive-by download (NDR : téléchargement clandestin qui s'ajoute à un téléchargement demandé) que d'inclure [...] des techniques proactives pour détecter l'activité d'un vrai utilisateur et de contrer les systèmes d'identification de malwares », explique ESET.

Une tendance très complémentaire de l'exploitation des nouvelles potentialités du HTML5. Et une preuve supplémentaire de l'imagination débordante des cybers-pirates (qui avaient été parmi les premiers à prendre conscience de la puissance du Cloud pour leurs méfaits).

Source : ESET


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Xinu2010 Xinu2010 - Membre averti https://www.developpez.com
le 03/05/2012 à 15:41
Avec l'avènement du html5/js, ce genre de pratique va se multiplier et toucher de plus en plus de plateforme
Avatar de Nathanael Marchand Nathanael Marchand - Rédacteur https://www.developpez.com
le 03/05/2012 à 15:45
Citation Envoyé par Xinu2010  Voir le message
Avec l'avènement du html5/js, ce genre de pratique va se multiplier et toucher de plus en plus de plateforme

Oui mais ca serait bien inoffensif si derrière il n'y avait pas une faille dans Java ou Adobe Reader...
Avatar de elias551 elias551 - Membre du Club https://www.developpez.com
le 04/05/2012 à 1:08
Citation Envoyé par Nathanael Marchand  Voir le message
Oui mais ca serait bien inoffensif si derrière il n'y avait pas une faille dans Java ou Adobe Reader...

Au pwn2own y'avait pas de plugin quand ils ont cracké la sandbox de chrome

Le meilleur moyen de contrer ca c'est de bloquer les scripts exterieurs au site visité. Ca complique la navigation parfois mais y'a pas plus efficace...
Avatar de ernestrenan ernestrenan - Membre régulier https://www.developpez.com
le 04/05/2012 à 9:34
Maintenant qu'on le sait il ne suffit aux bots d'émuler des actions utilisateurs. puis les pirates trouveront d'autres moyens de se cacher qu'on découvrira encore qui les forcera à en inventer encore d'autres. Ce jeu de chat et souris dure depuis des siècles : dès qu'on invente une protection quelqu'un la casse, dès qu'on trouve une nouvelle manière de frauder des gens cherchent à la contrer.
Avatar de BPiero BPiero - Membre actif https://www.developpez.com
le 09/05/2012 à 16:39
Je vois pas le rapport, ni avec html5, ni avec le cloud. ce type de code aurai pu fonctionner dès 1996. Rien de novateur.
Avatar de Pelote2012 Pelote2012 - Membre chevronné https://www.developpez.com
le 10/05/2012 à 11:41
si je me rappelle bien mon premier cours de sécurité, le prof a dit : La sécurité absolu n'existera jamais.

Les pirates ont toujours plusieurs tours d'avance. On ne peut qu'espérer que les éditeurs se rendent comptes rapidement des différentes failles. Mais bon, même quand le programme est bien verrouillé, ils arrivent à faire tomber la machine...

Bon allez, je ne vais pas me démoraliser
Avatar de Mishulyna Mishulyna - Traductrice https://www.developpez.com
le 14/05/2012 à 14:11
Citation Envoyé par BROWNY  Voir le message
si je me rappelle bien mon premier cours de sécurité, le prof a dit : La sécurité absolu n'existera jamais.

Les pirates ont toujours plusieurs tours d'avance. On ne peut qu'espérer que les éditeurs se rendent comptes rapidement des différentes failles. Mais bon, même quand le programme est bien verrouillé, ils arrivent à faire tomber la machine...

Pendant ce temps Avast! s'amuse à bloquer mon éditeur SQL sous pgAdmin (et encore il est gentil, Kaspersky bloquait tout outil de développement) et IE empêche l'exécution de mes applications web sur localhost ("Internet Explorer a bloque cette fenêtre pour proteger votre ordinateur"). Pfff...
Offres d'emploi IT
Développeur Web FULL-STACK
VACALIANS GROUP - Languedoc Roussillon - SETE (34)
Développeur WEB PHP F/H
VACALIANS GROUP - Languedoc Roussillon - SETE (34)
RESPONSABLE WEB ANALYTICS F/H
VACALIANS GROUP - Languedoc Roussillon - SETE (34)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil