[ad_1]

Un botnet inhabituel qui a pris au piège plus de 12 500 systèmes se déguise en un add-on légitime pour MozillaFirefox et oblige les PC infectés à parcourir les sites Web à la recherche de vulnérabilités de sécurité, a découvert une enquête de BreachTrace.

Le botnet, surnommé « Advanced Power » par ses opérateurs, semble fonctionner tranquillement depuis au moins mai 2013. On ne sait pas encore comment l’infection initiale se propage, mais le malware asservit les PC dans un botnet qui conduit Attaques par injection SQL sur pratiquement tous les sites Web visités par la victime.

Le botnet "Advanced Power" s

Le botnet « Advanced Power » s’installe comme une extension légitime de Firefox. Le logiciel malveillant recherche des vulnérabilités dans les sites Web visités par la victime.

Les attaques par injection SQL tirent parti des configurations de serveur faibles pour injecter du code malveillant dans la base de données derrière le serveur Web public. Les attaquants peuvent utiliser cet accès à des sites piégés avec des attaques de logiciels malveillants au volant, ou forcer les sites à cracher des informations stockées dans leurs bases de données.

Bien que ce logiciel malveillant inclue un composant conçu pour voler les mots de passe et autres informations sensibles des machines infectées, cette fonctionnalité ne semble pas avoir été activée sur les hôtes infectés. Au contraire, le but de ce botnet semble être d’utiliser les bureaux Windows compromis comme plate-forme d’analyse distribuée pour trouver des sites Web exploitables. Selon le panel d’administration du botnet, plus de 12 500 PC ont été infectés, et ces bots ont à leur tour aidé à découvrir au moins 1 800 pages Web vulnérables aux attaques par injection SQL.

Le module complémentaire frauduleux de Firefox.

Le module complémentaire frauduleux de Firefox.

Le code malveillant provient de sources référencées dans cet article de Malwr et cette entrée Virustotal (veuillez ne pas chercher ce logiciel malveillant à moins que vous ne sachiez vraiment ce que vous faites). Sur les systèmes infectés avec Mozilla Firefox installé, le code du bot installe un plugin de navigateur appelé « Microsoft .NET Framework Assistant » (ce faux add-on ne semble pas être la même chose comme cet add-on du même nom). Le module complémentaire malveillant teste ensuite presque chaque page visitée par l’utilisateur infecté pour détecter la présence de plusieurs vulnérabilités d’injection SQL différentes.

Alex Holdenresponsable de la sécurité de l’information chez Hold Security LLCa déclaré que le botnet semble avoir été conçu pour automatiser les suppositions fastidieuses et parfois aveugles impliquées dans la recherche de vulnérabilités SQL sur les sites.

« Lorsque vous testez une application pour l’injection SQL ou toute autre vulnérabilité, vous disposez d’un petit cadre de référence quant à la fonctionnalité du site », a déclaré Holden. « Souvent, vous ne connaissez pas ou ne pouvez pas voir de nombreuses fonctions utilisateur. Et dans certains cas, vous avez besoin d’informations d’identification appropriées pour le faire correctement. Dans ce cas, les pirates utilisent des requêtes valides sur de nombreux sites que les utilisateurs finaux eux-mêmes les alimentent. Il s’agit d’un échantillon beaucoup plus grand que celui que vous obtiendriez normalement. Il ne s’agit en aucun cas d’un test de régression complet, mais c’est une approche profonde et innovante. »

Holden a déclaré qu’il pensait que les auteurs de ce botnet pouvaient être natifs et/ou résider en République tchèque, notant que quelques chaînes de texte translittérées dans le logiciel malveillant sont automatiquement détectées par Google Translate en tant que tchèque.

Les injections SQL font partie des attaques de sites Web les plus courantes, en partie parce que ces vulnérabilités sont extrêmement répandues. Selon un rapport (PDF) publié plus tôt cette année par une société de sécurité de sites Web Imperva (divulgation complète : Imperva est un annonceur sur ce site), alors que la plupart des applications Web reçoivent quatre campagnes d’attaque ou plus chaque mois, certains sites Web sont constamment attaqués, en particulier les applications Web sur les sites de vente au détail.

Sites parcourus par des PC piratés (à gauche) et failles d'injection SQL trouvées par le botnet (masqué, à droite)

Sites parcourus par des PC piratés (à gauche) et failles d’injection SQL trouvées par le botnet (masqué, à droite)

Les botnets comme celui-ci sont un excellent exemple classique de la façon dont les systèmes compromis sont presque toujours utilisés pour ébranler les défenses des autres en ligne. Fait intéressant, il y a un add-on légitime pour Firefox qui peuvent aider à détecter passivement les vulnérabilités d’injection SQL sur les sites que vous visitez. Les propriétaires de sites à la recherche d’un outil gratuit pour analyser leurs sites à la recherche de vulnérabilités SQL devraient vérifier SQLmapun outil de test d’intrusion open source.

Mise à jour, 18 h 17 HE : Mozilla a publié une déclaration indiquant qu’il a « désactivé le module complémentaire frauduleux Microsoft .NET Framework Assistant utilisé par le botnet Advanced Power », par ajouter le faux add-on à sa liste de blocage. Mozilla a déclaré que Firefox reçoit un message lors d’une vérification des modules complémentaires bloqués une fois par jour – pendant que le navigateur est en cours d’exécution – et que le blocage ne nécessite aucune action de l’utilisateur pour prendre effet.

mozbloc

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *