Witchcoven : un nouveau "super-cookie" ciblant les entreprises et les gouvernements

16 novembre 2015 à 15h26
0
Une nouvelle campagne de pistage intensif a été révélée : elle infecte une centaine de sites et permet de suivre les utilisateurs à la trace pour dresser des profils spécifiques.

Le cabinet de sécurité FireEye explique avoir décelé une activité suspecte sur plusieurs dizaines de sites Internet. Concrètement, lorsque l'internaute se rend sur ces pages Web, le navigateur est redirigé vers un serveur de profilage. Selon les experts en sécurité, il s'agirait de sites Internet fréquemment consultés par les directeurs d'entreprise, les diplomates, les officiels de gouvernement ou les chercheurs.

Ces serveurs masqués contiendraient plusieurs scripts capables de récupérer un certain nombre d'informations comme l'adresse IP, le navigateur utilisé, le site précédemment consulté, la version de Microsoft Office installée ou les versions des plugins de type Flash Player ou Java. En outre, la machine de la victime accueillerait un « super cookie », baptisé Witchcoven, difficile à désinstaller et continuant à traquer ses activités sur la Toile.

Les sites en question n'ont pas été précisés mais certains appartiennent à des ambassades, des établissements scolaires, des services de passeports, des sociétés d'énergie ou des organisations médiatiques ou à but non lucratif. FireEye note que ces scripts pourraient très bien être envoyés par email et non déployés via le navigateur lui-même.

035C000008245878-photo-fireeye.jpg


A l'heure actuelle, il s'agirait simplement d'un dispositif de surveillance et aucune machine n'a reçu de code malveillant visant par exemple à bloquer l'accès à l'administrateur ou à orchestrer une attaque. Selon FireEye, l'une des possibilités offertes par Witchcoven est en revanche de dresser des profils spécifiques pour concevoir ensuite des malwares mieux ciblés et donc plus efficaces.

Par le passé, cette technique a été mise en oeuvre par des hackeurs chinois dans le cadre de l'Operation Clandestine Wolf visant à exploiter une faille de Flash Player. Un groupe russe baptisé Operation Russian Doll avait procédé à la même technique.

Modifié le 01/06/2018 à 15h36
0
0
Partager l'article :

Les actualités récentes les plus commentées

Emmanuel Macron se moque des opposants au déploiement de la 5G
L'UE envisage de renforcer les limites d'émission de CO2 pour le secteur automobile
Clubic évolue (en douceur)
L'attaque d'un hôpital par ransomware pourrait tourner en homicide après la mort d'une patiente allemande
5G : plusieurs dizaines d'élus de gauche veulent repousser le lancement de la technologie
Le data center sous-marin de Microsoft refait surface après deux ans d'immersion
AMD dévoile le design de sa Radeon RX 6000 sur Twitter
Après Bouygues, au tour de RED by SFR d'augmenter des forfaits sans possibilité de refus
PS5 : des jeux jusqu'à 79,99 €, soit 10 € de plus que sur l'ancienne génération ?!
Les satellites SpaceX, même peints, gâchent les nuits des astronomes
scroll top