PARIS – 06 mai 2024 – Une nouvelle forme de logiciels malveillants, en exploitant les services de Google, échappe aux protections antivirus traditionnelles. Ce malware discret cible les paiements en ligne et utilise des URL légitimes pour s’infiltrer. Cette attaque repose sur la manipulation de scripts malveillants dissimulés dans des sites web compromis, rendant la détection complexe. Pour en savoir plus sur cette menace et comment protéger vos données, lisez la suite.

Une nouvelle vague de logiciels malveillants, particulièrement insidieuse, a été découverte. Elle exploite des domaines de confiance, comme Google.Com, pour se faufiler à travers les défenses antivirus traditionnelles. Cette technique sophistiquée rend la détection extrêmement difficile,tant pour les utilisateurs que pour les solutions de sécurité classiques.

Comment Fonctionne Cette Attaque ?

L’attaque débute par l’intégration d’un script malveillant sur un site de commerce électronique compromis, souvent basé sur Magento. Ce script utilise une URL de déconnexion Google oauth, en apparence inoffensive : https://accounts.google.com/o/oauth2/Revoke.

Cependant, cette URL contient un paramètre de rappel manipulé. Ce paramètre décode et exécute une charge utile JavaScript obscurcie, utilisant la fonction EVAL (atoB (…)). L’astuce réside dans l’utilisation du domaine Google, considéré comme une source de confiance. De ce fait, la plupart des politiques de sécurité de contenu (CSP) et des filtres DNS autorisent son exécution sans suspicion.

Une Menace Silencieuse Activée Sous Conditions

Ce script ne s’active pas systématiquement. Il se déclenche uniquement si le navigateur semble automatisé ou si l’URL contient le mot “paiement”. Dans ce cas, il établit discrètement une connexion WebSocket avec un serveur malveillant. Cette approche permet au logiciel malveillant d’adapter son comportement en fonction des actions de l’utilisateur,le rendant encore plus difficile à repérer.

Toute charge utile transmise via ce canal est codée, décodée en base64, puis exécutée à l’aide du constructeur de fonction JavaScript. Cette configuration permet à l’attaquant d’exécuter du code à distance, en temps réel, directement dans le navigateur de la victime.

Pourquoi Est-Ce Si Difficile À Détecter ?

L’efficacité de cette attaque réside dans sa capacité à échapper à de nombreux antivirus populaires. La logique du script est fortement obscurcie et ne s’active que dans des conditions spécifiques. Cela réduit considérablement les chances de détection par les applications antivirus et les scanners de logiciels malveillants statiques.

De plus, les filtres ou les règles de pare-feu basés sur DNS offrent une protection limitée, car la requête initiale provient du domaine légitime de google. Même dans un environnement d’entreprise, les outils de protection des points de terminaison peuvent être mis en arduousé s’ils se fient uniquement à la réputation du domaine ou s’ils ne parviennent pas à inspecter l’exécution dynamique du script au sein des navigateurs.

Bien que les utilisateurs avertis et les équipes de cybersécurité puissent utiliser des proxys d’inspection de contenu ou des outils d’analyze comportementale pour identifier ces anomalies, l’utilisateur moyen reste particulièrement vulnérable.

Comment Se Protéger ?

Voici quelques mesures à prendre pour réduire les risques :

• Limiter l’exécution des scripts tiers.
• Séparer les sessions de navigateur utilisées pour les transactions financières.
• Rester vigilant face aux comportements inattendus des sites web.

La Cybersécurité : un Enjeu Constant

La lutte contre

Related