🔴 LE BLACK FRIDAY EN DIRECT !

Microsoft alarme sur l’utilisation d’une technique qui échappe à la détection pour déployer des trojans

14 novembre 2021 à 10h30
24
Trojan horse

Les équipes de Microsoft ont alarmé sur l'augmentation de l'utilisation d'une technique appelée HTML smuggling pour distribuer des trojans.

Cette façon de faire est particulièrement dangereuse par sa capacité à échapper à la détection.

Des techniques difficiles à détecter

D'après les équipes de sécurité de Microsoft, de plus en plus d'attaques visant à déployer des trojans utilisent une technique appelée HTML smuggling. Cette technique n'est pas nouvelle mais son gain de popularité récent peut s'expliquer par sa capacité à éviter la détection.

La première étape pour se défendre contre les malwares consiste généralement à utiliser un logiciel de sécurité comme un antivirus , qui va s'occuper par exemple de scanner les pièces jointes reçues par mail. Mais dans le cas du HTML smuggling, les fichiers malveillants ne sont pas inclus dans les mails. Les attaquants mettent soit un fichier HTML en pièce jointe, soit un simple lien au sein du mail, ce qui leur permet d'éviter la détection. Une fois le fichier ou le lien ouvert, les attaquants utilisent deux fonctionnalités pour télécharger automatiquement le fichier malveillant sur le système de leur victime.

Une méthode bien rodée

La première, l'attribut HTML download, permet de télécharger un fichier et optionnellement de définir le nom sous lequel il sera enregistré sur le système. Il est utilisé en combinaison avec l'attribut href, qui définit l'emplacement du fichier à télécharger. La deuxième sont les Blobs JavaScript. Les Blobs permettent de construire des objets similaires à des fichiers à partir de données fournies, qui sont ici des payloads malveillants présents sous la forme de strings encodées. Une fois la page HTML ouverte, un script JavaScript est lancé pour décoder le payload et créer à partir de celui-ci un fichier.

Grâce à cette méthode, les attaquants peuvent construire leur fichier malveillant localement grâce à du code JavaScript pur au lieu de devoir récupérer un fichier sur un serveur web. Ensuite, ils simulent un clic de la part de l'utilisateur sur un lien invisible pour lui, ce qui permet de télécharger automatiquement le fichier sur son système.

Un regain de popularité chez les attaquants

La suite de l'opération dépend des attaquants. Dans le cas des attaques réalisées par Mekotio, un trojan bancaire visant particulièrement l'Amérique du Sud, le Portugal et l'Espagne, le fichier téléchargé automatiquement était un fichier zip qui contenait du JavaScript et il était nécessaire que l'utilisateur interagisse plusieurs fois pour que le malware soit délivré.

En septembre, Microsoft a remarqué qu'un nouveau groupe, qu'ils ont nommé DEV-0193, utilisait de l'HTML smuggling pour propager Trickbot. Ici, le mail envoyé contenait une page HTML en pièce jointe qui, une fois ouverte, construisait un fichier JavaScript enregistré automatiquement dans le dossier Téléchargements de la victime. Le fichier JavaScript est protégé par un mot de passe afin d'éviter la détection, et ce mot de passe est fourni à la victime dans le mail. Une fois le fichier ouvert, grâce à un appel au serveur des attaquants, Trickbot est téléchargé sur le système de la victime.

Même si la détection par les logiciels de sécurité s'améliore, elle reste difficile. Vu qu'il n'est pas viable de tout simplement désactiver JavaScript, le plus simple reste encore de faire attention dès que vous cliquez sur un lien ou une pièce jointe dans un mail et de ne pas ouvrir de fichiers .js provenant d'une source non sûre.

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
24
19
benben99
Microsoft alarme sur l’utilisation<br /> Mes yeux saignent.<br /> En français, alarmer est un verbe transitif. Être alarmé, signifie être troublé ou effrayé…<br /> Il faut écrire «&nbsp;donner l’alarme&nbsp;».<br /> Et ça continue dans le texte après…<br /> Les équipes de Microsoft ont alarmé<br />
pinkfloyd
Sachant que la langue française est une langue vivante, et que clairement on comprend le sens de la phrase, cela ne me choque pas du tout…<br /> Surtout que si tu lis bien la définition complète :<br /> https://www.cnrtl.fr/definition/alarmé<br /> Bref tu alarmes pour pas grand chose
Mittel
La même chose…et si quelqu’un peut m’expliquer le sens de la fin de la phrase «&nbsp;qui échappe à la détection pour déployer des Trojans&nbsp;»…<br /> C’est gratuit mais ça pique vraiment aux yeux
briceio
Curieux de connaître l’impact sur des systèmes tels que iOS ou ChromeOS… encore une fois c’est notre bon vieux Windows décrépit qui est le seul concerné… y en a marre de Microsoft sérieusement.
benben99
pinkfloyd:<br /> Sachant que la langue française est une langue vivante, et que clairement on comprend le sens de la phrase, cela ne me choque pas du tout…<br /> Le critère pour juger qu’un texte est bien écrit par un rédacteur ne devrait pas être seulement qu’on arrive à le comprendre… Sinon, c’est un critère bien bas!<br /> On comprend, mais c’est une erreur grossière. En anglais on peut utiliser «&nbsp;alarm&nbsp;» dans le sens de donner l’alarme, mais en français, non. Il n’y a pas de justification de changer le sens des verbes quand il y a déjà une façon de le dire correctement en français Si le rédacteur était un immigrant pour qui le français était sa langue seconde, je comprendrais qu’il ne sait pas utiliser les verbes de la bonne façon… mais quand tu es rédacteur c’est difficile à pardonner.<br /> Au moins corrigez cette erreur.
benben99
Mittel:<br /> « qui échappe à la détection pour déployer des Trojans »…<br /> Oui effectivement…
pinkfloyd
ben détecter le déploiement d’un trojan, détecter l’installation d’un executable non souhaité sur le poste d’un utilisateur.
pinkfloyd
Regarde le lien, c’est tout a fait français…
paulposition
@tous: Merci de revenir au sujet; La sémantique du post peut être commentée entre vous par MP
avandoorine
C’est toujours pareil, certes le téléchargement est masqué mais il reste le fait que l’utilisateur lance un fichier qui proviens de ces emails / page web.<br /> En théorie l’anti virus devrait réagir, certes il n’empêchera pas le téléchargement, mais l’exécution du programme après téléchargement décryptage doit bien resté détectable.
Nmut
Le principe, tel que je l’ai compris, est fonctionnel quelque soit l’OS, Android, Linux, Unix, iOS, … Même les OS limités comme ChromeOS peuvent être touchés.
Hulk69
je travail pas dans le domaine mais est il possible que un jour les leader du web (chrome, edge) décide de bannir le javascript comme a été banni le flash auparavant?
merotic
Je ne comprends pas pourquoi les gens ouvrent une page HTML reçue en pièce jointe d’un e-mail.<br /> Ce n’est pas un fichier word ou pdf.<br /> Qui échange des informations avec une page web qui n’est pas faite pour être un document?<br /> Qui rédige du texte dans une page HTML pour communiquer avec ses proches ou une administration??<br /> Il manque des messages de prévention pour former les gens à ne pas faire n’importe quoi.<br /> Il y a vraiment un problème de formation chez les gens.<br /> Une sorte de code de la route pour les bases de la sécurité informatique serait nécessaire ou obligatoire pour utiliser un pc.
Gweegoo
Est ce que l’attaque marche aussi lorsqu’on utilise l’aperçu rapide du fichier?
Pronimo
C’est dingue qu’a partie d’un simple fichier html, on peux causer de gros dégâts. Faudrait peux-être revoir un peu la copie du javascript car j’ai l’impression que plus ça avance, plus l’interaction avec un système d’exploitation deviens la norme et laisse forcement la porte a ouverte a des failles. Mais bon avec le besoin de futur de vouloir tout interconnecté, le web 3.0 etc ça ne fera que rajouter des problèmes.
Martin_Penwald
Ça demande quand même une participation active de l’interface chaise-clavier.
sshenron
La différence entre Flash et Javascript, c’est que Flash était un plugin tributaire d’une entreprise et Javascript fait partie d’un standard. Avant de voir disparaitre un standard je crois qu’il va falloir attendre un bon moment … D’autant plus que mis à part WASM (encore très peu utilisé), il n’y a juste aucune alternative.<br /> Tant qu’un navigateur autorisera un clic par programmation (et non pas exclusivement via l’utilisateur), peut importe le langage derrière le résultat sera le même.<br /> Plus globalement, si un fichier se telecharge tout seul sur sa machine on ne clique pas dessus
Mittel
Oui bien corrigé, détecter le/la/les, la détection du/des/d’… Et pas «&nbsp;la détection pour&nbsp;»
ben100g
bien tenté le troll ^^ comparer iOS et Windows il fallait oser …
kyosho62
ben100g:<br /> bien tenté le troll ^^ comparer iOS et Windows il fallait oser …<br /> Ah parce que tu crois qu’il n’y a pas de trojan sur IOS ?
lightness
Il n’est pas viable de désactiver «&nbsp;JavaScript&nbsp;» alors il me semblait que Google notamment avait un remplaçant dans les cartons. Et JavaScript a été rendu indispensable mais il ne l’est pas. Depuis que JavaScript est partout c’est quand-même plus le bordel que quand d’autres solutions étaient utilisés. En revanche certains bloqueur de pubs bloque JavaScript et concernant les mails encore je n’ouvre un lien ou une pièce jointe quand je suis vraiment sûr de qui me l’envoie (sauf les adresses orange car elles sont piratés et revendu en interne depuis plusieurs années).
DocteurQui
C’est quand même bizarre que l’antivirus ne le detacte pas ! Si c’est bien un téléchargement via un site alors l’antivirus l’analyse automatiquement, s’il passe à l’as c’est que le virus n’est pas connu simplement. Et pour éviter ça il faut que le navigateur pose la question du lieu d’enregistrement avant, et ne pas cliquer n’importe où. Mais bon, l’erreur est humaine.
ben100g
non pas du tout, je parlais en terme d’usage, de possibilité, de part de marché, d’ouverture du machin …
jackals
C’est l’astuce de ce trojan justement, tu ne télécharge pas un exécutable qui peut être détecté mais c’est ta machine qui se charge de créer le code derrière un firewall, d’exécuter des commandes depuis la ligne de commande…
DocteurQui
Ah mince j’ai mal lu alors, je pensais que c’était une fois sur le lien dans un mail que le site cible créait le fichier pas évident à contrer dans ce cas
jackals
Il y a plusieurs méthodes d’attaque, après je dirais que c’est plutôt l’article qui est vraiment mal rédigé. L’article sur thehackersnews par exemple est bien plus simple à comprendre
Voir tous les messages sur le forum

Lectures liées

Avec ces offres Black Friday, s'équiper d'un antivirus performant chez Intego n'a jamais été si facile
Surfshark VPN fait couler ses tarifs : faut il craquer pour ce VPN prometteur ?
Après le scandale Pegasus, Israël recule sur les logiciels espions et réduit la liste des pays autorisés
Le Black Friday continue chez Bitdefender, le bon moment pour choisir un antivirus efficace !
Black Friday VPN : votre futur VPN se trouve sûrement dans une des offres de Cyberghost, NordVPN ou Surfshark !
37 % des smartphones Android auraient une puce vulnérable et pourraient se faire espionner à leur insu
Le Black Friday bat son plein chez NordVPN, le moment idéal pour un abonnement à prix choc !
Cyber-espionnage d'État : comment Apple veut informer les utilisateurs ciblés
Windows Defender montre les dents ! Il est parmi les meilleurs antivirus de 2021 selon AV-TEST
Antivirus pas cher pendant le Black Friday : pourquoi céder aux offres d'Avira jusqu'à -60% ?
Haut de page