Trojan horse

Les équipes de Microsoft ont alarmé sur l'augmentation de l'utilisation d'une technique appelée HTML smuggling pour distribuer des trojans.

Cette façon de faire est particulièrement dangereuse par sa capacité à échapper à la détection.

Des techniques difficiles à détecter

D'après les équipes de sécurité de Microsoft, de plus en plus d'attaques visant à déployer des trojans utilisent une technique appelée HTML smuggling. Cette technique n'est pas nouvelle mais son gain de popularité récent peut s'expliquer par sa capacité à éviter la détection.

La première étape pour se défendre contre les malwares consiste généralement à utiliser un logiciel de sécurité comme un antivirus, qui va s'occuper par exemple de scanner les pièces jointes reçues par mail. Mais dans le cas du HTML smuggling, les fichiers malveillants ne sont pas inclus dans les mails. Les attaquants mettent soit un fichier HTML en pièce jointe, soit un simple lien au sein du mail, ce qui leur permet d'éviter la détection. Une fois le fichier ou le lien ouvert, les attaquants utilisent deux fonctionnalités pour télécharger automatiquement le fichier malveillant sur le système de leur victime.

Une méthode bien rodée

La première, l'attribut HTML download, permet de télécharger un fichier et optionnellement de définir le nom sous lequel il sera enregistré sur le système. Il est utilisé en combinaison avec l'attribut href, qui définit l'emplacement du fichier à télécharger. La deuxième sont les Blobs JavaScript. Les Blobs permettent de construire des objets similaires à des fichiers à partir de données fournies, qui sont ici des payloads malveillants présents sous la forme de strings encodées. Une fois la page HTML ouverte, un script JavaScript est lancé pour décoder le payload et créer à partir de celui-ci un fichier.

Grâce à cette méthode, les attaquants peuvent construire leur fichier malveillant localement grâce à du code JavaScript pur au lieu de devoir récupérer un fichier sur un serveur web. Ensuite, ils simulent un clic de la part de l'utilisateur sur un lien invisible pour lui, ce qui permet de télécharger automatiquement le fichier sur son système.

Un regain de popularité chez les attaquants

La suite de l'opération dépend des attaquants. Dans le cas des attaques réalisées par Mekotio, un trojan bancaire visant particulièrement l'Amérique du Sud, le Portugal et l'Espagne, le fichier téléchargé automatiquement était un fichier zip qui contenait du JavaScript et il était nécessaire que l'utilisateur interagisse plusieurs fois pour que le malware soit délivré.

En septembre, Microsoft a remarqué qu'un nouveau groupe, qu'ils ont nommé DEV-0193, utilisait de l'HTML smuggling pour propager Trickbot. Ici, le mail envoyé contenait une page HTML en pièce jointe qui, une fois ouverte, construisait un fichier JavaScript enregistré automatiquement dans le dossier Téléchargements de la victime. Le fichier JavaScript est protégé par un mot de passe afin d'éviter la détection, et ce mot de passe est fourni à la victime dans le mail. Une fois le fichier ouvert, grâce à un appel au serveur des attaquants, Trickbot est téléchargé sur le système de la victime.

Même si la détection par les logiciels de sécurité s'améliore, elle reste difficile. Vu qu'il n'est pas viable de tout simplement désactiver JavaScript, le plus simple reste encore de faire attention dès que vous cliquez sur un lien ou une pièce jointe dans un mail et de ne pas ouvrir de fichiers .js provenant d'une source non sûre.