Des infections par le web toujours plus ciblées
High-Tech Bridge alerte sur une nouvelle forme d’infection par téléchargement survenant lors de l’ouverture de session sur un site web compromis.
L’infection de postes utilisateurs à l’occasion de la visite d’un site Web compromis est devenu un phénomène banal. Dans un rapport de l’automne 2013, Invincea faisait ainsi référence aux techniques de point d’eau – watering hole – ou d’infection par téléchargement à la visite d’une page Web – drive-by download – comme la « nouvelle norme ». Début 2014, CrowdStrike relevait en outre que, si le hameçonnage restait alors la tactique la plus populaire pour conduire des attaques ciblées, l’attaque par point d’eau gagnait fortement en popularité.
Et High-Tech Bridge vient de découvrir une nouvelle variante de la méthode du drive-by download, s’appuyant donc également sur des sites Web compromis. Dans un billet de blog, le spécialiste la baptise drive-by login : cette méthode mise sur une compromission des scripts de gestion de l’identification de l’utilisateur pour infecter son poste.
Et commencer par l’histoire d’un opérateur de plateforme de commerce en ligne en Europe centrale : « l’un de ses clients de longue date […] s’est plaint du fait que le site cherchait à infecter son PC avec un logiciel malveillant ». Mais aucune analyse classique n’a permis de déceler une telle compromission. Le commerçant exploitait en outre le récent osCommerce Online Merchant 2.3.4 : « initialement, nous avons pensé à un faux-positif. Mais ce n’était pas le cas ».
Les équipes de High-Tech Bridge ont en fait découvert une porte dérobée « qui livre du logiciel malveillant à des utilisateurs ciblés ». Et donc identifiés par la plateforme de commerce en ligne, en fonction de leur adresse IP ou de leur adresse e-mail.
Mieux : le fichier compromis est susceptible d’être effacé à distance par les attaquants pour que le fichier d’origine soit rétabli. De quoi limiter les traces… En l’occurrence, des sauvegardes ont permis de retrouver la version compromise du fichier concerné.
La compromission initiale de l’application de commerce en ligne trouve quant à elle son origine dans une extension tierce, « contenant une vulnérabilité sévère (les scanners automatisés sont passés à côté) ».