Des cybercriminels ont trouvé le moyen de contourner les mécanismes de défenses traditionnels visant à bloquer la diffusion de campagnes de phishing. Ils ont simplement détourné une URL fournie par Google.
Pour une personne avertie, il est relativement simple de déjouer une campagne de phishing en regardant le nom de domaine de l'expéditeur ou de l'URL sur laquelle il est invité à cliquer. Des noms de domaine du type lap0ste.net ou facebok.com donnent toute suite la puce à l'oreille. Mais qui aurait des soupçons en lisant simplement google.com ?
Une attaque qui n'éveille aucun soupçon
L’analyse récente d’une attaque sur un site e-commerce Magento révèle comment un simple lien Google a pu servir de cheval de Troie pour une prise de contrôle à distance du navigateur.
Les attaquants ont utilisé une URL Google OAuth à première vue anodine, du type :https://accounts.google.com/o/oauth2/revoke?callback=eval(atob('...'))
Dans ce cas précis, le paramètre callback est détourné pour injecter et exécuter un code JavaScript obfusqué, encodé en base64. Le navigateur, en traitant ce lien, va décoder et lancer le script sans que l’utilisateur, ni la plupart des outils de sécurité ne s’en aperçoivent.
Et ce script n’est pas statique : il crée dynamiquement une connexion WebSocket, c'est-à-dire un canal de communication bidirectionnel et persistant entre le navigateur de la victime et un serveur contrôlé par l’attaquant. Dès que la page visitée comporte le mot “checkout” dans son URL — typiquement lors d’un paiement - la connexion s’établit. Chaque information reçue via ce canal est interprétée puis traitée instantanément par le navigateur, ce qui permet notamment d’insérer des formulaires piégés ou de récupérer des données sensibles liées au paiement.
Le magazine C/Side rapporte que puisque le domaine de Google a été utilisé, l'attaque est passée inaperçue ; les dispositifs de défense faisant généralement confiance à ce nom de domaine. Il est précisé que la connexion Websocket permet à l'attaquant d'injecter des scripts supplémentaires, mais aussi de surveiller les saisies de la victime. Pire, le hacker est même en mesure de manipuler l’affichage, sans recharger la page du côté de la victime.
Bien évidemment, ce sont principalement les entreprises utilisant des solutions Google ou les sites d’e-commerce qui sont particulièrement exposés à ce type de détournement. Côté utilisateurs, nous conseillerons d'afficher l'URL entière plutôt que de la tronquer. Pour retrouver cette option, il suffit de cliquer-droit sur la barre d'adresse.
