Une campagne de cybercriminalité en cours utilise une technique connue sous le nom de contrebande HTML pour diffuser des logiciels malveillants sur la machine de la victime, rapporte Menlo Security.

Appelée Duri, la campagne a commencé début juillet et se poursuit à ce jour, tentant d’échapper aux solutions de sécurité réseau, y compris les proxies et les bacs à sable, pour délivrer du code malveillant.

La technique employée, la contrebande HTML, repose sur HTML5 / JavaScript pour le téléchargement de fichiers et peut être de deux types: les URL de données sont utilisées pour le téléchargement; ou un objet blob JavaScript est créé et un type MIME spécifique est utilisé pour télécharger le contenu.

«Dans cette attaque spécifique, nous avons observé la technique de blob JavaScript utilisée pour faire passer des fichiers malveillants via le navigateur au point de terminaison de l’utilisateur. Construire du contenu sur le navigateur client comme celui-ci évite les solutions de sécurité réseau telles que les sandbox et les proxys », explique Menlo Security.

Dans le cadre de l’attaque, la victime visite un site malveillant, ce qui déclenche le téléchargement par contrebande HTML. La totalité de la charge utile est construite dans le navigateur de la victime et aucun objet n’est transféré sur le câble.

Avant d’atterrir sur la page malveillante, qui est hébergée sur canards[.]org, la victime est redirigée plusieurs fois. Sur la page de destination, un événement de chargement JavaScript est appelé pour initialiser les données d’un objet blob à partir duquel un fichier ZIP est construit de manière dynamique.

Cependant, pour que l’attaque réussisse, la victime doit ouvrir le fichier ZIP et exécuter le fichier .msi qu’il contient. Une fois ouvert, le fichier récupère à partir d’un emplacement distant un autre fichier ZIP qui a une extension .jpg et qui contient la charge utile malveillante, révèle Menlo Security.

L’un des fichiers extraits de la deuxième archive ZIP est Avira.exe, qui est signé par Avira. Une attaque similaire abusant de l’exécutable d’Avira pour l’injection de logiciels malveillants a été détaillée en avril de l’année dernière, ciblant des utilisateurs d’Amérique du Sud.

Indicateurs de compromis partagés …