Si l’infection des mécanismes de création des pages-parking de Network Solution est une « première » dans l’art de la diffusion de malwares, cela ne diminue en rien l’opiniâtreté des « black hats » qui sans cesse cherchent à profiter des grands réseaux du Web Deuzéro pour s’en servir de relais. Les attaques en ingénierie sociale ou les coups de Jarnac lancés depuis un « URL raccourcie » ne se comptent plus. Les derniers exploits du genre visent les usagers de Google et ont fait l’objet d’une présentation par Samy Kamkar lors de la dernière Black Hat Conference. Intitulée « Comment j’ai rencontré votre petite amie », cette amusante causerie explique comment récupérer l’adresse MAC du routeur ADSL de la victime par le biais d’un site web (compromis) utilisant Javascript. L’identifiant matériel du routeur une fois connu, une rapide requête sur le Google Location Service indique à quelques mètres près où habite la future victime, grâce en soit rendue aux automobiles Google et à leur sniffer WiFi. L’attaque est décrite pas à pas et de manière relativement humoristique (sauce geek) au fil d’un fichier Powerpoint conçu par Kamkar.
Allez, encore un dernier gros botnet officiel, avec deux articles sur les campagnes SEO orchestrées par les vendeurs de faux antivirus. Les SEO, ce sont ces systèmes de pondération-classification utilisés par les moteurs de recherche et qui sont capables de placer en tête de page les résultats de recherche jugés les plus pertinents. Un classement que les spécialistes des faux antivirus tentent de falsifier à l’aide d’une foultitude de sites compromis, pour pouvoir passer avant les Symantec, Sophos et autres Kaspersky.
Le premier papier sur le sujet –est-ce surprenant- est signé Dancho Danchev et traite de l’invasion progressive des sites Web Hollandais et Helvétiques compromis par les marchands de Scarewares. L’autre est écrit par Bojan Zdrnja du Sans Institute. Tous deux décrivent les techniques d’injection qui parviennent à tromper les « Crawlers » des moteurs de recherche et les forcent à indexer des sites franchement marrons en les faisant passer pour d’honnêtes vendeurs d’antivirus. Autant les astuces employées sont subtiles –car devant contourner un nombre impressionnant de mesures de protection mises en place par les Google et Bing du monde entier au fil du temps-, autant les réseaux de diffusion sont colossaux. L’article de Danchev s’étale sur près de 25 pages-écran, et n’est constitué que d’adresses de sites faisandés, d’organigrammes de serveurs mafieux et de liens évidents avec les gardiens du botnet Gumblar. « Google is your friend, and Bing too » ironise-t-on dans les banlieues de Moscou et de Saint Petersbourg.