Microsoft alerte sur une technique indétectable de déploiement de chevaux de Troie

Écrit par Guillaume
Publié le : {{ dayjs(1636995605*1000).local().format("L").toString()}}
Suivez-nous

Le HTML smuggling gagne chaque jour de nouveaux « adeptes » de par la difficulté à le mettre en échec.

Pas à proprement parler « nouvelle », la technique de l’HTML smuggling consiste en l’envoi d’un fichier HTML en pièce jointe d’un courrier électronique ou en la mise en place d’un simple lien au sein du message. Il n’est plus ici question de fichier directement « vérolé » dans le courrier électronique. De fait, il est possible de contourner les logiciels de sécurité comme Windows Defender qui se chargent généralement de passer au peigne fin les pièces jointes, mais ne bloquent pas sur un simple fichier HTML en lui-même inoffensif.

Problème, si cette première étape est parfaitement sans danger, c’est ensuite que l’attaque se produit. En effet, une fonctionnalité peut alors entrer en action et causer bien des dégâts de manière quasi invisible pour nombre d’utilisateurs. Baptisée Blobs JavaScript, elle permet de télécharger tous les éléments constitutifs du malware. Pris « un à un », ils sont en apparence sans danger, mais les Blobs JavaScript sont ensuite capable de les assembler pour aboutir au malware proprement dit qui se trouve alors bel et bien en place sur la machine, maintenant infectée.

La technique d’HTML smuggling illustrée par Microsoft

L’HTML smuggling construit morceau par morceau les parties du malware au nez et à la barbe de tous les outils de sécurité les plus communément utilisés. Microsoft cite l’exemple du malware Trickbot diffusé par un groupe baptisé DEV-0193 par l’éditeur. En septembre dernier, le groupe a envoyé divers mail afin d’aboutir à la mise en place du malware dans le dossier « téléchargements » des machines ciblées. Si les stratégies mises en place peuvent effectivement déjouer des logiciels de sécurité, elles reposent toutefois toujours sur la crédulité des utilisateurs.

Dans le cas présent, Microsoft précise que la désactivation pure et simple de JavaScript ne suffit pas pour éliminer la menace. En revanche, il convient une fois encore de faire simplement très attention aux documents que l’on reçoit par mail : les précautions d’usage peuvent ainsi être répétées comme le fait de ne pas ouvrir de pièces jointes – quel que soit le format de fichier – si on ne connaît pas l’expéditeur. De plus, même dans le cas où on pense connaître l’expéditeur, il convient de ne pas ouvrir les fichiers .js bien sûr, mais aussi les .htm / .html à moins de savoir expressément pourquoi ils vous ont été envoyés.