Sécurité : ‘Tornado’ déclenche un vent de panique

Les chercheurs de Symantec ont détecté un nouvel outil d’attaque Web qui exploite jusqu’à 14 vulnérabilités de navigateur et installe des malware sur le système de l’utilisateur. Selon Liam O’Murchu, chercheur chez Symantec, ‘Tornado’ est généralement installé sur un serveur par un seul ‘administrateur’, qui offre ensuite des comptes sur le serveur à d’autres pirates.

Les pirates injectent du code dans d’autres pages Web afin de rediriger les utilisateurs vers le serveur Tornado, où les vulnérabilités sont exploitées et les malware installés. « C’est peut-être la raison pour laquelle le code de ce pack est resté privé pendant si longtemps », explique Liam O’Murchu. « Avec ce modèle, les créateurs de l’outil peuvent le vendre à quelques clients de confiance à un prix élevé, au lieu de le distribuer à de nombreux clients douteux et de risquer de voir le code publié dans l’ombre. »

Tornado offre aux pirates tout un ensemble de statistiques de trafic et d’options permettant de sélectionner le type d’exploit à exécuter.

Le programme comprend aussi une option qui permet de rediriger les visiteurs vers une fausse page de ‘suspension de compte’. Cette option permet à l’outil d’échapper aux chercheurs en sécurité qui se rendent à plusieurs reprises sur des pages infectées afin d’étudier les exploits et les malware utilisés.

Des programmes tels que Neosploit et MPack offrent des fonctionnalités similaires pour configurer les serveurs pouvant exécuter plusieurs exploits contre les utilisateurs.

Traduction de l’article Experts warn of ‘Tornado’ hacker tool de Vnunet.com en date du 23 avril 2008