Blue Coat Systems, Inc. (Nasdaq : BCSI), un fournisseur de solutions de sécurité Web et d’optimisation WAN, annonce que la défense collaborative WebPulse™ de Blue Coat® a réussi a protéger de façon proactive ses 75 millions d’utilisateurs de la toute dernière attaque lancée par Shnakule, le plus grand réseau de diffusion de programmes malveillants (malnet) sur Internet. Grâce à la surveillance de l’infrastructure Shnakule par le Blue Coat Security Labs WebPulse a pu identifier la nouvelle menace de manière dynamique. Cette même technique est utilisée pour bloquer de façon proactive les futures attaques de Shnakule ou d’autres malnets.
Au cours de cette attaque, qui a d’abord été signalé par Armorize Technologies, MySQL.com, un site Internet légitime a été piraté et a délivré un JavaScript malveillant qui a créé un iframe invisible. L’iframe a permis la diffusion d’une attaque par téléchargements furtifs hébergée sur des serveurs extérieurs au site MySQL.com.
L’attaque a non seulement utilisé des sites dont on sait qu’ils font partie du réseau Shnakule, mais aussi de nouveaux serveurs d’attaque et de charge. L’hôte de l’attaque était l’un des nombreux sites malveillants hébergés sur un serveur que WebPulse avait déjà classé et bloqué comme hôte de programmes malveillants (malware), protégeant ainsi les utilisateurs de manière proactive de l’attaque lancée trois jours après. Durant les cinq jours au cours desquels le serveur a été utilisé, le Blue Coat Security Labs a identifié 81 sites de malware différents sur ce serveur.
« Cette attaque était certes importante, mais ce n’est finalement qu’un simple inducteur de trafic de plus au service d’un réseau de diffusion bien établi. Cela prouve bien que les cybercriminels ne surgissent pas de nulle part pour lancer des attaques de grande envergure », explique Dr. Tim van der Horst, chercheur en chef spécialisé dans les malwares chez Blue Coat Systems. « L’infrastructure Shnakule fonctionne 24h/24 et 7j/7 et lance de nouvelles attaques dans l’objectif d’infecter de nouvelles victimes. WebPulse a justement été conçu pour surveiller les infrastructures de ce type afin de protéger les utilisateurs, indépendamment de la méthode utilisée par les pirates qui varie régulièrement. »
Environ 400 000 personnes visitent MySQL.com chaque jour. Ce site constitue donc pour les cybercriminels une cible de choix, potentiellement très lucrative. L’injection d’iframes ciblait un grand nombre de pages documentant l’administration de bases de données. Si l’attaque n’avait pas été bloquée, elle aurait diffusé des programmes malveillants dont le but était de localiser des authentifiants de bases de données supplémentaires et leur emplacement sur le système des victimes. Ces informations auraient permis aux cybercriminels d’accéder à une foule d’informations potentiellement sensibles et de pirater d’autres systèmes.
Le réseau Shnakule représente environ 2000 noms d’hôte uniques par jour et jusqu’à 5708 en une seule journée. Sur une journée classique, le service WebPulse enregistre plus de 21 000 requêtes sur ce malnet. Shnakule a pour habitude de polluer les moteurs de recherche et d’utiliser de faux anti-virus pour lancer ces attaques. Mais depuis peu, il développe de nouveaux types d’attaque. En juillet, il a par exemple lancé une attaque de malvertising qui s’appuie sur des publicités malveillantes. Blue Coat a tout de même enregistré 15 000 requêtes d’utilisateurs pour cette attaque.
La défense collaborative WebPulse assure à 75 millions d’utilisateurs du monde entier une protection proactive contre ces nouvelles attaques. Grâce à WebPulse, le Blue Coat Security Labs est en mesure de suivre plus de 500 réseaux de diffusion de programmes malveillants et de bloquer l’accès à l’infrastructure utilisée pour déployer ces nouvelles attaques.