[PCWorld 14/03/2008]

Selon des chercheurs en sécurité, un nouveau type d’attaque se développe depuis une semaine sur le Web. Les hackers utilisent une nouvelle technique de scam basée sur des iFrame positionnés dans des milliers de pages Web. Objectif : rediriger les internautes vers des sites conduisant à l’installation de malware, afin de prendre le contrôle des machines.

Selon le chercheur bulgare spécialisé dans la sécurité informatique, Dancho Danchev (voir son blog pour de plus amples informations), l’attaque s’est encore amplifiée ces derniers jours. Le chercheur répertorie ainsi 20 sites, dont celui de la bibliothèque de l’université de Caroline du Nord ou plusieurs sites gouvernementaux américains (dont le programme de Medicare), qui ensemble renferment plus de 400 000 iFrame injectés par les pirates. L’analyse de Danchev est confirmée par Ben Greenbaum, de Symantec.

Concrétement, les pirates utilisent les résultats de recherche sauvegardés par les sites pour insérer des iFrame, certainement à l’aide d’un outil automatisant le travail. Ces iFrame redirigent les internautes vers un second site, qui affiche alors une fenêtre demandant l’installation d’un nouveau codec (voir ci-contre, un exemple). Accepter l’opération amène l’internaute vers un troisième site, qui héberge le malware à installer sur le PC de la victime. Il s’agit d’une variation du troyen Zlob.

« Cette tactique, basée sur l’exploitation des récents résultats de recherche, est nouvelle, explique Ben Greenbaum. Mais éviter le piège s’avère assez aisé ». Il suffit par exemple à l’internaute de refuser l’installation du codec pour la battre en brèche. Les webmestres des sites peuvent eux mettre fin à l’attaque tout simplement en empêchant la mise en mémoire cache des précédents résultats de recherche.

http://www.pcworld.fr/lire/breves/3591/1/hacking-malware-cache-dans-les-pages-reche