Faille ‘iFrames’ et tentatives de vol: des milliers de sites sont atteints

Pierre Mangin,

C’est en Italie notamment qu’une vaste tentative de vol d’informations
sensibles est signalée. « Une attaque d’une ampleur jamais connue
jusqu’ici », alerte Trend Micro. Elle devrait déborder ailleurs dans le
monde

Le spécialiste de la sécurité sur le Net, Trend Micro donne l’alerte ce 19 juin au soir: une menace sérieuse a déferlé sur l’Italie, depuis le week-end dernier compromettant des milliers de domaines et d’URL sur le Web.

Cette vague utilise la vulnérabilité ‘iFrames’ pour déverser du code malveillant et caché – des keyloggers-, visant à dérober des mots de passe ou des codes personnels, ou cherchant à transformer les postes infectés en serveurs ‘proxy’, donc ré-émetteurs d’informations cachées, de chevaux de Troie ou de ‘spams’ – au choix!…

Selon Trend Micro, des dizaines de milliers d’utilisateurs dans le monde ont déjà été attaqués alors qu’ils ne faisaient que « naviguer » sur le Web.

Le ‘malware’ HTML initial tire parti de la vulnérabilité affectant les  » iFrames’, ces formats de pages couramment utilisés sur les sites Web.

A l’origine, explique l’éditeur spécialiste en sécurité, il pourrait s’agir d’une attaque « robotisée », créée à partir d’un ordinateur utilisant Mpack, un kit générateur de chevaux de Troie.

Sur la page IP, vers laquelle le navigateur infecté est redirigé, ce ‘malware’ Mpack, ouvrant page « statistiques » affiche en fait la façon dont l’utilisateur qui visite tranquillement des site Web est redirigé vers un ordinateur hôte Mpack d’où le processus de téléchargement en chaîne commence à s’enclencher.

NB. Pour détecter et nettoyer les postes:

www.trendmicro.com/housecall

Une chaîne assez complexe, à 5 niveaux Tout commence par l’insertion de codes cachés, à leur insu, dans des sites Web courants et légitimes -dans le domaine du voyage, tourisme, hôtels, de l’automobile, de la musique… – des sites qui ont donc été piratés pour y insérer une adresse IP (HTML_IFRAME.CU) dans du code HTML.Les visiteurs des ces sites sont redirigés vers un autre site où s’enclenche un module de téléchargement en Javascript (JS_DLOADER.NTI). A ce stade, l’URL ainsi atteinte, de niveau 3 dans la chaîne, va télécharger à son tour un cheval de Troie dans le système « cible » à partir d’une quatrième URL (TROJ_SMALL.HCK) – URL que les éditeurs de solutions de sécurité -comme Trend Micro- peuvent détecter et bloquer. Le cheval de Troie ainsi embarqué va lui-même télécharger deux autres chevaux de Troie à partir de deux nouveaux URL (niveau 5 dans la chaîne)