Microsoft alarme sur l’utilisation d’une technique qui échappe à la détection pour déployer des trojans

Fanny Dufour
14 novembre 2021 à 10h30
24
Trojan horse

Les équipes de Microsoft ont alarmé sur l'augmentation de l'utilisation d'une technique appelée HTML smuggling pour distribuer des trojans.

Cette façon de faire est particulièrement dangereuse par sa capacité à échapper à la détection.

Des techniques difficiles à détecter

D'après les équipes de sécurité de Microsoft, de plus en plus d'attaques visant à déployer des trojans utilisent une technique appelée HTML smuggling. Cette technique n'est pas nouvelle mais son gain de popularité récent peut s'expliquer par sa capacité à éviter la détection.

La première étape pour se défendre contre les malwares consiste généralement à utiliser un logiciel de sécurité comme un antivirus, qui va s'occuper par exemple de scanner les pièces jointes reçues par mail. Mais dans le cas du HTML smuggling, les fichiers malveillants ne sont pas inclus dans les mails. Les attaquants mettent soit un fichier HTML en pièce jointe, soit un simple lien au sein du mail, ce qui leur permet d'éviter la détection. Une fois le fichier ou le lien ouvert, les attaquants utilisent deux fonctionnalités pour télécharger automatiquement le fichier malveillant sur le système de leur victime.

Une méthode bien rodée

La première, l'attribut HTML download, permet de télécharger un fichier et optionnellement de définir le nom sous lequel il sera enregistré sur le système. Il est utilisé en combinaison avec l'attribut href, qui définit l'emplacement du fichier à télécharger. La deuxième sont les Blobs JavaScript. Les Blobs permettent de construire des objets similaires à des fichiers à partir de données fournies, qui sont ici des payloads malveillants présents sous la forme de strings encodées. Une fois la page HTML ouverte, un script JavaScript est lancé pour décoder le payload et créer à partir de celui-ci un fichier.

Grâce à cette méthode, les attaquants peuvent construire leur fichier malveillant localement grâce à du code JavaScript pur au lieu de devoir récupérer un fichier sur un serveur web. Ensuite, ils simulent un clic de la part de l'utilisateur sur un lien invisible pour lui, ce qui permet de télécharger automatiquement le fichier sur son système.

Un regain de popularité chez les attaquants

La suite de l'opération dépend des attaquants. Dans le cas des attaques réalisées par Mekotio, un trojan bancaire visant particulièrement l'Amérique du Sud, le Portugal et l'Espagne, le fichier téléchargé automatiquement était un fichier zip qui contenait du JavaScript et il était nécessaire que l'utilisateur interagisse plusieurs fois pour que le malware soit délivré.

En septembre, Microsoft a remarqué qu'un nouveau groupe, qu'ils ont nommé DEV-0193, utilisait de l'HTML smuggling pour propager Trickbot. Ici, le mail envoyé contenait une page HTML en pièce jointe qui, une fois ouverte, construisait un fichier JavaScript enregistré automatiquement dans le dossier Téléchargements de la victime. Le fichier JavaScript est protégé par un mot de passe afin d'éviter la détection, et ce mot de passe est fourni à la victime dans le mail. Une fois le fichier ouvert, grâce à un appel au serveur des attaquants, Trickbot est téléchargé sur le système de la victime.

Même si la détection par les logiciels de sécurité s'améliore, elle reste difficile. Vu qu'il n'est pas viable de tout simplement désactiver JavaScript, le plus simple reste encore de faire attention dès que vous cliquez sur un lien ou une pièce jointe dans un mail et de ne pas ouvrir de fichiers .js provenant d'une source non sûre.

Sources : BleepingComputer, Microsoft

Fanny Dufour

Fanny Dufour

Arrivée dans la rédaction par le jeu vidéo, c’est par passion pour le développement web que je me suis intéressée plus largement à tout ce qui gravite autour de notre consommation des outils numérique...

Lire d'autres articles

Arrivée dans la rédaction par le jeu vidéo, c’est par passion pour le développement web que je me suis intéressée plus largement à tout ce qui gravite autour de notre consommation des outils numériques, des problématiques de vie privée au logiciel libre en passant par la sécurité. Fan inconditionnelle de science-fiction toujours prête à expliquer pendant des heures pourquoi Babylon 5 est ma série préférée.

Lire d'autres articles
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (24)

benben99
Microsoft alarme sur l’utilisation<br /> Mes yeux saignent.<br /> En français, alarmer est un verbe transitif. Être alarmé, signifie être troublé ou effrayé…<br /> Il faut écrire «&nbsp;donner l’alarme&nbsp;».<br /> Et ça continue dans le texte après…<br /> Les équipes de Microsoft ont alarmé<br />
pinkfloyd
Sachant que la langue française est une langue vivante, et que clairement on comprend le sens de la phrase, cela ne me choque pas du tout…<br /> Surtout que si tu lis bien la définition complète :<br /> https://www.cnrtl.fr/definition/alarmé<br /> Bref tu alarmes pour pas grand chose
Mittel
La même chose…et si quelqu’un peut m’expliquer le sens de la fin de la phrase «&nbsp;qui échappe à la détection pour déployer des Trojans&nbsp;»…<br /> C’est gratuit mais ça pique vraiment aux yeux
briceio
Curieux de connaître l’impact sur des systèmes tels que iOS ou ChromeOS… encore une fois c’est notre bon vieux Windows décrépit qui est le seul concerné… y en a marre de Microsoft sérieusement.
benben99
pinkfloyd:<br /> Sachant que la langue française est une langue vivante, et que clairement on comprend le sens de la phrase, cela ne me choque pas du tout…<br /> Le critère pour juger qu’un texte est bien écrit par un rédacteur ne devrait pas être seulement qu’on arrive à le comprendre… Sinon, c’est un critère bien bas!<br /> On comprend, mais c’est une erreur grossière. En anglais on peut utiliser «&nbsp;alarm&nbsp;» dans le sens de donner l’alarme, mais en français, non. Il n’y a pas de justification de changer le sens des verbes quand il y a déjà une façon de le dire correctement en français Si le rédacteur était un immigrant pour qui le français était sa langue seconde, je comprendrais qu’il ne sait pas utiliser les verbes de la bonne façon… mais quand tu es rédacteur c’est difficile à pardonner.<br /> Au moins corrigez cette erreur.
benben99
Mittel:<br /> « qui échappe à la détection pour déployer des Trojans »…<br /> Oui effectivement…
pinkfloyd
ben détecter le déploiement d’un trojan, détecter l’installation d’un executable non souhaité sur le poste d’un utilisateur.
pinkfloyd
Regarde le lien, c’est tout a fait français…
paulposition
@tous: Merci de revenir au sujet; La sémantique du post peut être commentée entre vous par MP
avandoorine
C’est toujours pareil, certes le téléchargement est masqué mais il reste le fait que l’utilisateur lance un fichier qui proviens de ces emails / page web.<br /> En théorie l’anti virus devrait réagir, certes il n’empêchera pas le téléchargement, mais l’exécution du programme après téléchargement décryptage doit bien resté détectable.
Nmut
Le principe, tel que je l’ai compris, est fonctionnel quelque soit l’OS, Android, Linux, Unix, iOS, … Même les OS limités comme ChromeOS peuvent être touchés.
merotic
Je ne comprends pas pourquoi les gens ouvrent une page HTML reçue en pièce jointe d’un e-mail.<br /> Ce n’est pas un fichier word ou pdf.<br /> Qui échange des informations avec une page web qui n’est pas faite pour être un document?<br /> Qui rédige du texte dans une page HTML pour communiquer avec ses proches ou une administration??<br /> Il manque des messages de prévention pour former les gens à ne pas faire n’importe quoi.<br /> Il y a vraiment un problème de formation chez les gens.<br /> Une sorte de code de la route pour les bases de la sécurité informatique serait nécessaire ou obligatoire pour utiliser un pc.
Gweegoo
Est ce que l’attaque marche aussi lorsqu’on utilise l’aperçu rapide du fichier?
Pronimo
C’est dingue qu’a partie d’un simple fichier html, on peux causer de gros dégâts. Faudrait peux-être revoir un peu la copie du javascript car j’ai l’impression que plus ça avance, plus l’interaction avec un système d’exploitation deviens la norme et laisse forcement la porte a ouverte a des failles. Mais bon avec le besoin de futur de vouloir tout interconnecté, le web 3.0 etc ça ne fera que rajouter des problèmes.
Martin_Penwald
Ça demande quand même une participation active de l’interface chaise-clavier.
sshenron
La différence entre Flash et Javascript, c’est que Flash était un plugin tributaire d’une entreprise et Javascript fait partie d’un standard. Avant de voir disparaitre un standard je crois qu’il va falloir attendre un bon moment … D’autant plus que mis à part WASM (encore très peu utilisé), il n’y a juste aucune alternative.<br /> Tant qu’un navigateur autorisera un clic par programmation (et non pas exclusivement via l’utilisateur), peut importe le langage derrière le résultat sera le même.<br /> Plus globalement, si un fichier se telecharge tout seul sur sa machine on ne clique pas dessus
Mittel
Oui bien corrigé, détecter le/la/les, la détection du/des/d’… Et pas «&nbsp;la détection pour&nbsp;»
ben100g
bien tenté le troll ^^ comparer iOS et Windows il fallait oser …
kyosho62
ben100g:<br /> bien tenté le troll ^^ comparer iOS et Windows il fallait oser …<br /> Ah parce que tu crois qu’il n’y a pas de trojan sur IOS ?
lightness
Il n’est pas viable de désactiver «&nbsp;JavaScript&nbsp;» alors il me semblait que Google notamment avait un remplaçant dans les cartons. Et JavaScript a été rendu indispensable mais il ne l’est pas. Depuis que JavaScript est partout c’est quand-même plus le bordel que quand d’autres solutions étaient utilisés. En revanche certains bloqueur de pubs bloque JavaScript et concernant les mails encore je n’ouvre un lien ou une pièce jointe quand je suis vraiment sûr de qui me l’envoie (sauf les adresses orange car elles sont piratés et revendu en interne depuis plusieurs années).
ben100g
non pas du tout, je parlais en terme d’usage, de possibilité, de part de marché, d’ouverture du machin …
jackals
C’est l’astuce de ce trojan justement, tu ne télécharge pas un exécutable qui peut être détecté mais c’est ta machine qui se charge de créer le code derrière un firewall, d’exécuter des commandes depuis la ligne de commande…
Voir tous les messages sur le forum

Top meilleurs antivirus

Bitdefender
Bitdefender Voir l'offre
Norton 360
Norton 360 Voir l'offre
Avast One
Avast One Voir l'offre
  • Indépendance
  • Transparence
  • Expertise

L'équipe Clubic sélectionne et teste des centaines de produits qui répondent aux usages les plus courants, avec le meilleur rapport qualité / prix possible.

Haut de page

Sur le même sujet

Attention, ce malware se cache dans un fichier Word vérolé, lui-même caché dans un PDF Attention, ce malware se cache dans un fichier Word vérolé, lui-même caché dans un PDF
Attention ! Ce malware dans Microsoft Office peut exécuter du code, même sans macros Attention ! Ce malware dans Microsoft Office peut exécuter du code, même sans macros
Microsoft donne l'alerte sur une faille critique détectée sur Windows Microsoft donne l'alerte sur une faille critique détectée sur Windows
L'aviation, l'aérospatiale et la défense soumises à la pression des cybercriminels et des chevaux de Troie L'aviation, l'aérospatiale et la défense soumises à la pression des cybercriminels et des chevaux de Troie
Un groupe de hackers vole les crypto-monnaies de start-up et petites entreprises Un groupe de hackers vole les crypto-monnaies de start-up et petites entreprises