Actu
Gumblar, l’une des menaces actuelles les plus insidieuses, d’après ScanSafe
novembre 2009 par ScanSafe
Dans son rapport mensuel mondial sur les menaces, ScanSafe indique que 29% de tous les malware Web bloqués en octobre 2009 sont issus de Gumblar. Cette série de compromissions de sites Web, collectivement surnommée ‘Gumblar’, fonctionne selon une approche en plusieurs directions et installe des mouchards de trafic et des portes dérobées sur les PC des internautes, puis utilise les certificats FTP dérobés pour compromettre et s’introduire sur les sites Web.
ScanSafe a découvert qu’en octobre 2009 Gumblar a commencé à exploité son botnet de sites Web compromis par porte dérobée en les utilisant de façon inhabituelle comme hôtes mêmes du malware. Le malware ainsi hébergé sur les sites est construit de façon dynamique au moment de l’accès. Les différents utilisateurs, selon le type de leur navigateur et d’autres éléments, récupèrent des exploits différents et potentiellement des malware différents. Il est inquiétant de noter que le malware est également dynamiquement obscurci, ce qui empêche une détection par les voies classiques à base de signatures.
“On peut dire que Gumblar est l’une des menaces actuelles les plus insidieuses pour les internautes et les opérateurs de sites Web,” commente Mary Landesman, Chercheur Sénior en Sécurité chez ScanSafe. “Ce qui est troublant est que début novembre nous avons détecté que la porte dérobée restée en place sur les sites compromis par les pirates de Gumblar a également été exploitée par d’autres groupes d’attaque, ce qui signifie que ces sites sont sous leur contrôle. Le tout a exacerbé la gravité de la situation.”
Gumblar est unique car les pirates trouvent un accès grâce à des certificats FTP dérobés plutôt que par des méthodes classiques d’injection de code. Gumblar évolue en s’écartant de la norme et installe des portes dérobées PHP sur les sites Web compromis, puis utilise les sites ainsi compromis comme hôtes courants du malware.
“Les implications sont plutôt stupéfiantes,” ajoute Mary Landesman. “En général, une percée de sites Web compromis n’implique que quelques domaines de malware. Dans le cas de Gumblar, on trouve en général au moins 2000 sites Web compromis par porte dérobée qui servent d’hôtes au malware. Il en résulte qu’il n’y a pas un seul ou quelques points vers lesquels diriger les efforts pour fermer la source du malware.”
Pour charger le malware depuis les sites compromis, des iframes malveillants ont été placés sur des dizaines de milliers d’autres sites compromis. Il est inquiétant de voir que les internautes qui visitent l’un de ces sites conducteurs sont exposés à tout un ensemble d’exploits conçus pour installer en silence le malware Gumblar. Dans les systèmes Windows, le malware installé se charge lors de l’accès à des sites ou des dispositifs comprenant du son. Il s’injecte également pendant le processus d’Internet Explorer et intercepte tout le trafic Web entrant et sortant de l’ordinateur. Tous les certificats FTP capturés sont envoyés aux pirates ce qui développe la croissance du botnet de sites Web de Gumblar.
Il est intéressant de noter que l’étude du code source du malware diffusé par les sites compromis par Gumblar révèle que le malware fonctionne avec des langues spécifiques et cible les utilisateurs anglais, danois, allemands, italiens et espagnols.
