Il ne se passe pas une semaine sans que l’on apprenne une compromission généralisée dans laquelle des milliers de sites Web partageant une vulnérabilité commune sont piratés et semés de logiciels malveillants. La couverture médiatique de ces piratages de masse se concentre généralement sur la faille de sécurité qui a permis les intrusions, mais un aspect de ces crimes qui est rarement examiné est la méthode par laquelle les attaquants automatisent le piégeage et la maintenance de leurs sites piratés.
Version traduite par Google de la page d’accueil d’iFrameservice
Les lecteurs réguliers de ce blog ne seront peut-être pas surpris d’apprendre qu’il s’agit d’un autre aspect de l’économie cybercriminelle qui peut être sous-traité à des services tiers. Souvent appelés « iFramers », ces services peuvent simplifier la tâche de gestion d’un grand nombre de sites piratés qui sont utilisés pour générer du trafic vers des sites qui diffusent des logiciels malveillants et des exploits de navigateur.
À tout le moins, un service iFramer décent permettra aux clients de vérifier de grandes listes d’informations d’identification de protocole de transfert de fichiers (FTP) utilisées pour administrer des sites Web piratés, en nettoyant ces listes de paires d’informations d’identification invalides. Le service téléchargera ensuite les logiciels malveillants et les scripts malveillants du client sur le site piraté, et vérifiera chaque lien pour s’assurer que le piège est correctement défini.
Un énorme pourcentage de logiciels malveillants dans la nature aujourd’hui a la capacité intégrée de voler les informations d’identification FTP des PC infectés. Cela est possible car les personnes qui administrent des sites Web utilisent souvent des logiciels FTP pour télécharger des fichiers et des images, et permettent à ces programmes de stocker leurs mots de passe FTP. Ainsi, de nombreuses variantes de logiciels malveillants modernes recherchent simplement les programmes FTP populaires sur le système de la victime et extraient toutes les informations d’identification stockées.
L’interface client pour le service iFramer.
Certains services, comme celui proposé sur iframeservice.net (photo ci-dessus et à gauche), proposent un menu d’extras pour aider les clients à maintenir leurs champs de mines sur le Web. Iframeservice.net tente de s’implanter de manière plus permanente sur tous les sites pour lesquels il reçoit des informations d’identification FTP, en testant les sites pour détecter d’autres vulnérabilités de sécurité (attaques racine) susceptibles d’accorder des privilèges administratifs sur le serveur Web du site.
Ce service promet également d’aider les clients à garder une longueur d’avance sur les sociétés antivirus, en surveillant les listes noires d’URL et en générant des alertes client lorsque des pages piégées sont signalées comme malveillantes. En outre, il offre la possibilité automatisée de masquer la véritable destination des liens malveillants afin de confondre à la fois les antivirus et les administrateurs légitimes des sites piratés.
Un compromis récent que j’ai aidé un ami à gérer me rappelle un fait têtu sur les sites piratés qui semble pertinent ici. Tout comme les infections de PC peuvent entraîner le vol d’informations d’identification FTP, les infestations de logiciels malveillants entraînent souvent la compromission de toutes les pages HTML stockées localement sur l’ordinateur de la victime. D’énormes familles de logiciels malveillants ont traditionnellement inclus la possibilité d’injecter des scripts malveillants dans toutes les pages Web stockées sur la machine hôte. De cette façon, les infections PC peut se propager à tous les sites Web gérés par la victime lorsque la victime télécharge sans le savoir des pages piégées sur son site Web.
De toute évidence, la meilleure façon d’éviter ces problèmes est de s’assurer que votre système ne soit pas compromis en premier lieu. Mais si votre ordinateur souffre d’une infection par un logiciel malveillant et que vous gérez un site Web à partir de cette machine, il est judicieux de vérifier toutes les pages HTML que vous avez stockées localement et/ou mises à jour sur votre site depuis la compromission, et de changer le mot de passe utilisé pour administrer votre site Web (en utilisant un mot de passe fort, bien sûr).