Un malware joue à cache-cache avec les bots grâce à du JavaScript
Les techniques cybercriminelles sont de plus en plus proactives
Le 2012-05-03 15:28:23, par Gordon Fowler, Expert éminent sénior
Dans la famille des malwares qui innovent, les laboratoires de l’éditeur ESET viennent de faire une « bonne » pioche.
Ses chercheurs ont en effet identifié un programme malicieux capable de se cacher lorsque le site qu'il infecte est scanné par le bot d'un éditeur.
En résumé, le malware fait appel à du code JavaScript injecté dans l'en-tête du site. Ce fichier a pour seul but de détecter le mouvement de la souris. Si la souris ne bouge pas, l'attaquant en déduit qu'il s'agit d'une visite « non humaine ». Et rien ne se passe.
Dans le cas contraire, le malware reconnaît un humain - invalide l'hypothèse d'un bot - et appelle un autre fichier JavaScript, malicieux également, qui injecte alors un iFrame corrompu dans la page pour rediriger le visiteur non protégé vers un site tiers.
La deuxième étape de l'attaque exploitait une faille – aujourd’hui corrigée – de Java et d'Adobe Reader.
Code analysé par ESET
D'après l'éditeur, ce nouvel exemple de code « intelligent » serait représentatif de la tendance actuelle dans l'univers des malwares. « C'est une évolution naturelle du drive-by download (NDR : téléchargement clandestin qui s'ajoute à un téléchargement demandé) que d'inclure [...] des techniques proactives pour détecter l'activité d'un vrai utilisateur et de contrer les systèmes d'identification de malwares », explique ESET.
Une tendance très complémentaire de l'exploitation des nouvelles potentialités du HTML5. Et une preuve supplémentaire de l'imagination débordante des cybers-pirates (qui avaient été parmi les premiers à prendre conscience de la puissance du Cloud pour leurs méfaits).
Source : ESET
Ses chercheurs ont en effet identifié un programme malicieux capable de se cacher lorsque le site qu'il infecte est scanné par le bot d'un éditeur.
En résumé, le malware fait appel à du code JavaScript injecté dans l'en-tête du site. Ce fichier a pour seul but de détecter le mouvement de la souris. Si la souris ne bouge pas, l'attaquant en déduit qu'il s'agit d'une visite « non humaine ». Et rien ne se passe.
Dans le cas contraire, le malware reconnaît un humain - invalide l'hypothèse d'un bot - et appelle un autre fichier JavaScript, malicieux également, qui injecte alors un iFrame corrompu dans la page pour rediriger le visiteur non protégé vers un site tiers.
La deuxième étape de l'attaque exploitait une faille – aujourd’hui corrigée – de Java et d'Adobe Reader.
Code analysé par ESET
D'après l'éditeur, ce nouvel exemple de code « intelligent » serait représentatif de la tendance actuelle dans l'univers des malwares. « C'est une évolution naturelle du drive-by download (NDR : téléchargement clandestin qui s'ajoute à un téléchargement demandé) que d'inclure [...] des techniques proactives pour détecter l'activité d'un vrai utilisateur et de contrer les systèmes d'identification de malwares », explique ESET.
Une tendance très complémentaire de l'exploitation des nouvelles potentialités du HTML5. Et une preuve supplémentaire de l'imagination débordante des cybers-pirates (qui avaient été parmi les premiers à prendre conscience de la puissance du Cloud pour leurs méfaits).
Source : ESET
-
Nathanael MarchandRédacteurOui mais ca serait bien inoffensif si derrière il n'y avait pas une faille dans Java ou Adobe Reader...le 03/05/2012 à 15:45
-
elias551Membre du ClubAu pwn2own y'avait pas de plugin quand ils ont cracké la sandbox de chrome
Le meilleur moyen de contrer ca c'est de bloquer les scripts exterieurs au site visité. Ca complique la navigation parfois mais y'a pas plus efficace...le 04/05/2012 à 1:08 -
Xinu2010Membre avertiAvec l'avènement du html5/js, ce genre de pratique va se multiplier et toucher de plus en plus de plateformele 03/05/2012 à 15:41
-
ernestrenanMembre régulierMaintenant qu'on le sait il ne suffit aux bots d'émuler des actions utilisateurs. puis les pirates trouveront d'autres moyens de se cacher qu'on découvrira encore qui les forcera à en inventer encore d'autres. Ce jeu de chat et souris dure depuis des siècles : dès qu'on invente une protection quelqu'un la casse, dès qu'on trouve une nouvelle manière de frauder des gens cherchent à la contrer.le 04/05/2012 à 9:34
-
BPieroMembre actifJe vois pas le rapport, ni avec html5, ni avec le cloud. ce type de code aurai pu fonctionner dès 1996. Rien de novateur.le 09/05/2012 à 16:39
-
Pelote2012Membre chevronnési je me rappelle bien mon premier cours de sécurité, le prof a dit : La sécurité absolu n'existera jamais.
Les pirates ont toujours plusieurs tours d'avance. On ne peut qu'espérer que les éditeurs se rendent comptes rapidement des différentes failles. Mais bon, même quand le programme est bien verrouillé, ils arrivent à faire tomber la machine...
Bon allez, je ne vais pas me démoraliserle 10/05/2012 à 11:41 -
MishulynaTraductricePendant ce temps Avast! s'amuse à bloquer mon éditeur SQL sous pgAdmin (et encore il est gentil, Kaspersky bloquait tout outil de développement) et IE empêche l'exécution de mes applications web sur localhost ("Internet Explorer a bloque cette fenêtre pour proteger votre ordinateur"
. Pfff... le 14/05/2012 à 14:11