McAfee lance une mise en garde contre une nouvelle attaque massive

Peu après une récente attaque qui a affecté quelque 10 000 sites, les experts en sécurité ont identifié une nouvelle attaque à grande échelle. Les chercheurs de McAfee estiment que l’attaque en question est active depuis environ une semaine, un délai suffisant pour se propager sur quelque 200 000 pages Web.

La plupart des pages infectées utilisent le logiciel de forum phpBB, précise McAfee. Ces pages sont intégrées dans un fichier Javascript qui assure la liaison avec le site hébergeant l’attaque. Plutôt que de tenter d’exploiter les vulnérabilités du navigateur, l’attaque amène l’utilisateur à lancer manuellement sa charge utile.

« Elle s’oppose à l’attaque [précédente] en ce sens que la grande majorité d’entre elles étaient des pages de serveur actives (.ASP) », explique Craig Schmugar, chercheur chez McAfee, dans un blog de l’éditeur. « Les attaques ASP sont différentes des attaques phpBB de par la charge utile et la méthode utilisées. Différents exploits sont utilisés dans les attaques ASP, tandis que les attaques phpBB reposent sur le social engineering. »

Les pages infectées révèlent ce qui apparaît comme un site pornographique. Une fois la page chargée, une attaque de social engineering basée sur de ‘faux codecs’ est exécutée. L’utilisateur reçoit un message lui recommandant d’installer un codec vidéo spécial pour pouvoir visionner le film sur la page.

L’utilisateur télécharge alors un cheval de Troie qui installe à son tour un programme malveillant sur le système et affiche un message d’erreur indiquant à l’utilisateur que l’installation du codec a échoué.

Traduction de l’article Second mass hack exposed de Vnunet.com en date du 17 mars 2008.