Witchcoven : un nouveau "super-cookie" ciblant les entreprises et les gouvernements

0
Une nouvelle campagne de pistage intensif a été révélée : elle infecte une centaine de sites et permet de suivre les utilisateurs à la trace pour dresser des profils spécifiques.

Le cabinet de sécurité FireEye explique avoir décelé une activité suspecte sur plusieurs dizaines de sites Internet. Concrètement, lorsque l'internaute se rend sur ces pages Web, le navigateur est redirigé vers un serveur de profilage. Selon les experts en sécurité, il s'agirait de sites Internet fréquemment consultés par les directeurs d'entreprise, les diplomates, les officiels de gouvernement ou les chercheurs.

Ces serveurs masqués contiendraient plusieurs scripts capables de récupérer un certain nombre d'informations comme l'adresse IP, le navigateur utilisé, le site précédemment consulté, la version de Microsoft Office installée ou les versions des plugins de type Flash Player ou Java. En outre, la machine de la victime accueillerait un « super cookie », baptisé Witchcoven, difficile à désinstaller et continuant à traquer ses activités sur la Toile.

Les sites en question n'ont pas été précisés mais certains appartiennent à des ambassades, des établissements scolaires, des services de passeports, des sociétés d'énergie ou des organisations médiatiques ou à but non lucratif. FireEye note que ces scripts pourraient très bien être envoyés par email et non déployés via le navigateur lui-même.

035C000008245878-photo-fireeye.jpg


A l'heure actuelle, il s'agirait simplement d'un dispositif de surveillance et aucune machine n'a reçu de code malveillant visant par exemple à bloquer l'accès à l'administrateur ou à orchestrer une attaque. Selon FireEye, l'une des possibilités offertes par Witchcoven est en revanche de dresser des profils spécifiques pour concevoir ensuite des malwares mieux ciblés et donc plus efficaces.

Par le passé, cette technique a été mise en oeuvre par des hackeurs chinois dans le cadre de l'Operation Clandestine Wolf visant à exploiter une faille de Flash Player. Un groupe russe baptisé Operation Russian Doll avait procédé à la même technique.

Modifié le 01/06/2018 à 15h36
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
0
0

Actualités du moment

StarCraft 2 Legacy of the Void : 1 million d'exemplaires écoulés en 24 heures
Google met en garde contre le câble USB Type-C de OnePlus
Apple News et Instant Articles (Facebook) ne rapportent pas autant que prévu aux médias
Donjons et Dragons : de la table du salon à la réalité virtuelle
Alerte au virus
Le système Windows 10 Mobile assurera-t-il la compatibilité des applications Android ?
Bouygues Telecom reste devant Free Mobile
MacBook et iPad : Apple ne croit pas aux hybrides
Gmail alertera l'internaute des messages provenant d'une connexion non chiffrée
Safety Check : Facebook communique sur son dispositif utilisé lors des attentats parisiens
Haut de page