{"id":279068,"date":"2022-07-26T13:37:29","date_gmt":"2022-07-26T15:37:29","guid":{"rendered":"https:\/\/teknomers.com\/fr\/les-pirates-utilisent-de-plus-en-plus-les-cryptomineurs-codes-webassembly-pour-echapper-a-la-detection\/"},"modified":"2022-07-26T13:37:29","modified_gmt":"2022-07-26T15:37:29","slug":"les-pirates-utilisent-de-plus-en-plus-les-cryptomineurs-codes-webassembly-pour-echapper-a-la-detection","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/les-pirates-utilisent-de-plus-en-plus-les-cryptomineurs-codes-webassembly-pour-echapper-a-la-detection\/","title":{"rendered":"Les pirates utilisent de plus en plus les cryptomineurs cod\u00e9s WebAssembly pour \u00e9chapper \u00e0 la d\u00e9tection"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Pas moins de 207 sites Web ont \u00e9t\u00e9 infect\u00e9s par un code malveillant con\u00e7u pour lancer un mineur de crypto-monnaie en exploitant WebAssembly (Wasm) sur le navigateur.<\/p>\n<p>La soci\u00e9t\u00e9 de s\u00e9curit\u00e9 Web Sucuri, qui a publi\u00e9 les d\u00e9tails de la campagne, a d\u00e9clar\u00e9 avoir lanc\u00e9 une enqu\u00eate apr\u00e8s que l&#8217;un de ses clients ait vu son ordinateur consid\u00e9rablement ralenti \u00e0 chaque fois qu&#8217;il naviguait sur son propre portail WordPress.<\/p>\n<p>Cela a r\u00e9v\u00e9l\u00e9 un compromis d&#8217;un fichier de th\u00e8me pour injecter du code JavaScript malveillant \u00e0 partir d&#8217;un serveur distant &#8211; hxxps:\/\/wm.bmwebm[.]org\/auto.js &#8211; qui est charg\u00e9 chaque fois que la page du site Web est consult\u00e9e.<\/p>\n<p>&#8220;Une fois d\u00e9cod\u00e9, le contenu d&#8217;auto.js r\u00e9v\u00e8le imm\u00e9diatement la fonctionnalit\u00e9 d&#8217;un cryptomineur qui commence \u00e0 miner lorsqu&#8217;un visiteur atterrit sur le site compromis&#8221;, a d\u00e9clar\u00e9 Cesar Anjos, chercheur sur les logiciels malveillants Sucuri. <a rel=\"nofollow noopener\" href=\"https:\/\/blog.sucuri.net\/2022\/07\/cryptominers-webassembly-in-website-malware.html\" target=\"_blank\">a dit<\/a>.<\/p>\n<p>De plus, le code auto.js d\u00e9sobscurci utilise WebAssembly pour ex\u00e9cuter du code binaire de bas niveau directement sur le navigateur.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/strike-d\" target=\"_blank\" title=\"DevOps backupy\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/07\/Une-nouvelle-etude-revele-que-la-plupart-des-fournisseurs-dentreprise.png\" width=\"300\" height=\"250\" \/><\/a><\/div>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/webassembly.org\/\" target=\"_blank\">WebAssembly<\/a>qui est pris en charge par tous les principaux navigateurs, est un <a rel=\"nofollow noopener\" href=\"https:\/\/developer.mozilla.org\/en-US\/docs\/WebAssembly\" target=\"_blank\">format d&#8217;instruction binaire<\/a> qui offre des am\u00e9liorations de performances par rapport \u00e0 JavaScript, permettant aux applications \u00e9crites dans des langages tels que C, C++ et Rust d&#8217;\u00eatre compil\u00e9es dans un langage de type assembleur de bas niveau pouvant \u00eatre ex\u00e9cut\u00e9 directement sur le navigateur.<\/p>\n<p>&#8220;Lorsqu&#8217;il est utilis\u00e9 dans un navigateur Web, Wasm s&#8217;ex\u00e9cute dans son propre environnement d&#8217;ex\u00e9cution en bac \u00e0 sable&#8221;, a d\u00e9clar\u00e9 Anjos.  &#8220;Comme il est d\u00e9j\u00e0 compil\u00e9 dans un format d&#8217;assemblage, le navigateur peut lire et ex\u00e9cuter ses op\u00e9rations \u00e0 une vitesse que JavaScript lui-m\u00eame ne peut \u00e9galer.&#8221;<\/p>\n<p>Le domaine contr\u00f4l\u00e9 par l&#8217;acteur, wm.bmwebm[.]org, aurait \u00e9t\u00e9 enregistr\u00e9 en janvier 2021, ce qui implique que l&#8217;infrastructure est rest\u00e9e active pendant plus d&#8217;un an et demi sans attirer l&#8217;attention.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"Mineur de crypto-monnaie WebAssembly\" border=\"0\" data-original-height=\"609\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/07\/1658849848_585_Les-pirates-utilisent-de-plus-en-plus-les-cryptomineurs-codes.jpg\" title=\"Mineur de crypto-monnaie WebAssembly\" \/><\/div>\n<p>En plus de cela, le domaine offre \u00e9galement la possibilit\u00e9 de g\u00e9n\u00e9rer automatiquement des fichiers JavaScript qui se font passer pour des fichiers apparemment inoffensifs ou des services l\u00e9gitimes comme celui de Google Ads (par exemple, adservicegoogle.js, wordpresscore.js et facebook-sdk.js) pour dissimuler son comportement malveillant.<\/p>\n<p>&#8220;Cette fonctionnalit\u00e9 permet \u00e9galement au mauvais acteur d&#8217;injecter les scripts \u00e0 plusieurs endroits sur le site Web compromis tout en conservant l&#8217;apparence que les injections &#8220;appartiennent&#8221; \u00e0 l&#8217;environnement&#8221;, a not\u00e9 Anjos.<\/p>\n<p>Ce n&#8217;est pas la premi\u00e8re fois que la capacit\u00e9 de WebAssembly \u00e0 ex\u00e9cuter des applications hautes performances sur des pages Web augmente <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/stevespringett\/disable-webassembly\" target=\"_blank\">potentiel<\/a> <a rel=\"nofollow noopener\" href=\"https:\/\/www.forcepoint.com\/blog\/x-labs\/webassembly-potentials-and-pitfalls\" target=\"_blank\">S\u00e9curit\u00e9<\/a> <a rel=\"nofollow noopener\" href=\"https:\/\/training.linuxfoundation.org\/blog\/webassembly-security-now-and-in-the-future\/\" target=\"_blank\">drapeaux rouges<\/a>.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowdsec-tour-d\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/07\/1656663365_395_Amazon-corrige-discretement-la-vulnerabilite-de-gravite-elevee-dans-lapplication.jpg\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>Mis \u00e0 part le fait que le format binaire de Wasm rend la d\u00e9tection et l&#8217;analyse par les moteurs antivirus conventionnels plus difficiles, la technique pourrait ouvrir la porte \u00e0 des attaques plus sophistiqu\u00e9es bas\u00e9es sur les navigateurs, telles que l&#8217;e-skimming, qui peuvent passer inaper\u00e7ues pendant de longues p\u00e9riodes.<\/p>\n<p>Le manque de contr\u00f4les d&#8217;int\u00e9grit\u00e9 pour les modules Wasm complique davantage les choses, ce qui rend effectivement impossible de d\u00e9terminer si une application a \u00e9t\u00e9 falsifi\u00e9e.<\/p>\n<p>Pour aider \u00e0 illustrer les faiblesses de s\u00e9curit\u00e9 de WebAssembly, un <a rel=\"nofollow noopener\" href=\"https:\/\/www.usenix.org\/conference\/usenixsecurity20\/presentation\/lehmann\" target=\"_blank\">\u00e9tude 2020<\/a> par un groupe d&#8217;universitaires de l&#8217;Universit\u00e9 de Stuttgart et de l&#8217;Universit\u00e9 de la Bundeswehr \u00e0 Munich a mis au jour des probl\u00e8mes de s\u00e9curit\u00e9 qui pourraient \u00eatre utilis\u00e9s pour \u00e9crire dans une m\u00e9moire arbitraire, \u00e9craser des donn\u00e9es sensibles et d\u00e9tourner le flux de contr\u00f4le.<\/p>\n<p>Subs\u00e9quent <a rel=\"nofollow noopener\" href=\"https:\/\/arxiv.org\/abs\/2111.01421\" target=\"_blank\">rechercher<\/a> publi\u00e9 en novembre 2021 sur la base d&#8217;une traduction de 4 469 programmes C avec des vuln\u00e9rabilit\u00e9s connues de d\u00e9bordement de m\u00e9moire tampon vers Wasm a r\u00e9v\u00e9l\u00e9 que &#8220;la compilation d&#8217;un programme C existant vers WebAssembly sans pr\u00e9cautions suppl\u00e9mentaires peut entraver sa s\u00e9curit\u00e9&#8221;.<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/07\/hackers-increasingly-using-webassembly.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Pas moins de 207 sites Web ont \u00e9t\u00e9 infect\u00e9s par un code malveillant con\u00e7u pour lancer un mineur de crypto-monnaie en exploitant WebAssembly (Wasm) sur le navigateur. La soci\u00e9t\u00e9 de s\u00e9curit\u00e9 Web Sucuri, qui a publi\u00e9 les d\u00e9tails de la campagne, a d\u00e9clar\u00e9 avoir lanc\u00e9 une enqu\u00eate apr\u00e8s que l&#8217;un de ses clients ait vu [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":279069,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[44043,4168,79695,4158,4165,4161,41161,21314,4157,4159,4171,4170,65,4167,4160,4163,4162,4394,185,4172,4169,10784,4166,4164,93827],"class_list":["post-279068","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-codes","tag-comment-pirater","tag-cryptomineurs","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-detection","tag-echapper","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-pirates","tag-pour","tag-securite-informatique","tag-securite-internet","tag-utilisent","tag-violation-de-donnees","tag-vulnerabilite-logicielle","tag-webassembly"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/279068","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=279068"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/279068\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/279069"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=279068"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=279068"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=279068"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}