La campagne d'attaque Duri qui a été lancée par un groupe de piratage inconnu a révélé que les cybercriminels avaient mis au point une nouvelle technique d'intrusion – Contrebande HTML. Il permet aux pirates de distribuer des charges utiles dangereuses en utilisant l'évasion de la détection par des fonctionnalités de sécurité.
La contrebande HTML révélée comme une nouvelle méthode de piratage: Découvert via The Duri Attack Campaigm
Pour le moment, il n'y a aucune information sur l'identité des pirates derrière les attaques Duri; cependant, l'enquête est en cours. La découverte de la campagne a été fait dans Juillet 2020 par Menlo security, lorsque des experts ont détecté un lien de téléchargement suspect qui a été bloqué par un filtre de sécurité du navigateur Web. Après une inspection plus approfondie, il semble que ce n'était pas un fichier, mais plutôt un code JavaScript qui a été utilisé pour déployer des charges utiles malveillantes sur le système cible.
Ce code JavaScript a été utilisé pour masquer le fichier malveillant en lui-même, les experts en sécurité ont appelé cette technique Contrebande HTML. C'est l'utilisation d'une combinaison de plusieurs langages de programmation (HTML5 et JavaScript) afin de générer des URL avec des charges utiles de malwares à la volée. En abusant de cette technique, les criminels peuvent envoyer des virus en diffusant des fichiers directement à partir du navigateur concerné et ne pas compter sur une URL pointant vers un hôte Web.. En utilisant cette attaque Duri, le le malware transporté est construit sur le navigateur côté client et aucun objet n'est transféré sur Internet — cela signifie qu'il est beaucoup plus difficile de le détecter en se basant uniquement sur certaines des fonctions de protection de sécurité traditionnelles.
Une démonstration de preuve de concept montre comment un document Word infecté par une macro peut être conçu dans un code JavaScript. En fournissant des adresses utilisant un tel code, les criminels peuvent construire plusieurs redirections qui peuvent conduire à la présentation de pages Internet dangereuses.. La contrebande HTML permet une distribution très pratique de menaces Web:
- Ransomware — Ce sont des virus de cryptage de fichiers conçus pour crypter les données des utilisateurs avec un cryptage fort. Habituellement, les fichiers à traiter seront sélectionnés dans une liste créée par des pirates. La plupart des menaces de cette catégorie renommeront les fichiers victimes avec une extension donnée. Les victimes seront alors extorquées de payer des frais de décryptage, il se trouve généralement dans des actifs de crypto-monnaie et doit être connecté à une adresse de portefeuille sécurisée.
- Trojan Infections chevaux — Il s'agit de menaces virales conçues pour déployer un moteur client local en silence sur les ordinateurs. Ils établiront une connexion sécurisée avec le serveur contrôlé par le pirate informatique et leur permettront de prendre le contrôle.
- Mineurs crypto-monnaie — Ce sont des scripts Web qui peuvent être exécutés à partir des fenêtres du navigateur. Ils sont chargés du téléchargement et de l'exécution de tâches gourmandes en performances. Ils imposent un lourd tribut aux composants matériels essentiels et peuvent rendre l'ordinateur complètement inutilisable. Pour chaque instance terminée et signalée, les criminels recevront un paiement en crypto-monnaie numérique.
En utilisant cette approche d'attaque Duri, les charges utiles abandonnées peuvent être placées de manière à l'installer en tant que menace persistante. Cela signifie que le virus démarre automatiquement lorsque l'ordinateur est mis sous tension et qu'il peut contourner les services de sécurité installés.
Martin Beltov
Martin a obtenu un diplôme en édition de l'Université de Sofia. En tant que passionné de cyber-sécurité, il aime écrire sur les menaces les plus récentes et les mécanismes d'intrusion.
Suivez-moi: