Un chercheur en sécurité français a découvert une nouvelle tentative d'attaque de pirates qui exploite des milliers de sites web compromis. Voici ce qui se passe
Parmi les différents types d'attaques pirates utilisés aujourd'hui, elle reste l'une des plus dangereuses et des moins connues du grand public. Et cela contribue, dans une sorte de court-circuit cybernétique, à augmenter encore son degré de dangerosité et de "létalité". Les attaques de pirates menées via des sites web compromis sont encore difficiles à détecter et donc à combattre.
Avec ces prémisses, il ne devrait pas être si difficile de comprendre l'inquiétude de Jérôme Segura, analyste en chef des logiciels malveillants pour la maison de logiciels Malwerbytes. Le chercheur et expert en sécurité informatique français a découvert une nouvelle famille de logiciels malveillants bancaires qui se propagent sur le web via des milliers de sites web piratés mais, aux yeux des internautes, parfaitement "normaux". Selon Segura, dans un article publié sur le blog de Malwerbytes, les pirates ont pu exploiter des vulnérabilités qui leur ont permis de compromettre des portails créés avec certaines des plateformes de gestion de contenu les plus utilisées (WordPress, Joomla et SquareSpace sont les plateformes mentionnées par le chercheur français). Les cybercriminels ont ainsi pu pirater des dizaines de milliers de sites web (du moins d'un point de vue théorique) et infecter un nombre indéterminé d'utilisateurs. Pour être précis, il n'est toutefois pas possible de déterminer le nombre exact de portails attaqués : selon Segura, il s'agissait de quelques milliers, mais le chiffre pouvait varier d'un jour à l'autre.
Comment l'attaque fonctionne avec les sites web compromis
Pour maximiser le nombre d'utilisateurs touchés, les pirates ont adopté certaines astuces qui ont rendu l'attaque difficile à identifier. Les portails compromis affichent un message à un petit nombre d'utilisateurs leur demandant de mettre à jour le navigateur qu'ils utilisent ou Flash : pour éviter de donner l'impression d'un faux avertissement, les pirates analysent l'ordinateur de l'éventuelle victime, créent un profil et affichent l'avertissement de mise à jour une seule fois. Si la victime tombe dans le panneau, elle téléchargera un fichier JavaScript malveillant : une sorte de cheval de Troie qui lance automatiquement le téléchargement du virus proprement dit. À ce stade, le logiciel malveillant reste "caché" jusqu'à ce que vous essayiez d'accéder au portail de votre banque à domicile dans l'espoir de voler vos identifiants de connexion.