Des pirates informatiques ont lancé samedi une cyberattaque infructueuse dans le but d'infecter des millions d'utilisateurs israéliens avec des ransomwares.......Détails........
L'attaque aurait été perpétrée par des pirates informatiques opérant depuis la "Palestine", sur la base des preuves actuelles.
L’incident s’est produit le samedi 2 mars, lorsque des pirates informatiques ont réussi à empoisonner les enregistrements DNS de Nagich, un service web fournissant un widget d’accessibilité intégré à des milliers de sites Web israéliens pour permettre l’accès des personnes handicapées à la lecture.
Selon des rapports d'experts en cybersécurité israéliens, des pirates informatiques ont utilisé le widget Nagich pour intégrer automatiquement du code malveillant sur des milliers de sites web israéliens.
Le code endommagerait d'abord et avant tout le site avec un message indiquant "#OpJerusalem, Jérusalem est la capitale de la Palestine", puis lancerait un téléchargement automatique d’un fichier Windows nommé "flashplayer_install.exe", un fichier corrompu par un ransomware.
Cependant, les choses ne se sont pas déroulées comme prévu pour les pirates. Alors que le message apparaissait sur des milliers de pages Web, y compris certains des plus grands sites d’information en Israël, le téléchargement de fichier n’a pas fonctionné.
Les chercheurs ont pourtant repéré le code destiné à déclencher le téléchargement du fichier lors de l'analyse des messages de remplacement.
Ils ont déclaré qu'une erreur de code empêchait l'opération de téléchargement automatique.
L’erreur était que le code malveillant s’arrêterait après la défiguration du site web et ne déclencherait pas le téléchargement du ransomware si la version du système d’exploitation détectée correspondait à la chaîne de caractères "Windows".
Le problème provient du fait qu’il n’existe pas d’agent utilisateur contenant la chaîne de caractères "Windows" , car les chaînes de caractère des agent utilisateur du navigateur incluent également le numéro de version de Windows, tel que "Windows XP" ou "Windows 10".
Cela signifiait que l'instruction "if" renvoyait toujours la valeur true, quel que soit le système d'exploitation, et que le code malveillant effectuait la défiguration puis s'interrompait, annulant ainsi le téléchargement.
Selon une analyse de CyberArk, le fichier destiné à être téléchargé sur les systèmes des utilisateurs était une souche de ransomware inconnue qui aurait chiffré les fichiers si les utilisateurs l'exécutaient.
L’attaque de Nagich n’a duré que quelques heures samedi et le service a retrouvé l’accès à ses enregistrements DNS et a cessé de diffuser le code malveillant à la fin de la journée.
L’incident s’est produit le samedi 2 mars, lorsque des pirates informatiques ont réussi à empoisonner les enregistrements DNS de Nagich, un service web fournissant un widget d’accessibilité intégré à des milliers de sites Web israéliens pour permettre l’accès des personnes handicapées à la lecture.
Selon des rapports d'experts en cybersécurité israéliens, des pirates informatiques ont utilisé le widget Nagich pour intégrer automatiquement du code malveillant sur des milliers de sites web israéliens.
Le code endommagerait d'abord et avant tout le site avec un message indiquant "#OpJerusalem, Jérusalem est la capitale de la Palestine", puis lancerait un téléchargement automatique d’un fichier Windows nommé "flashplayer_install.exe", un fichier corrompu par un ransomware.
Cependant, les choses ne se sont pas déroulées comme prévu pour les pirates. Alors que le message apparaissait sur des milliers de pages Web, y compris certains des plus grands sites d’information en Israël, le téléchargement de fichier n’a pas fonctionné.
Les chercheurs ont pourtant repéré le code destiné à déclencher le téléchargement du fichier lors de l'analyse des messages de remplacement.
Ils ont déclaré qu'une erreur de code empêchait l'opération de téléchargement automatique.
L’erreur était que le code malveillant s’arrêterait après la défiguration du site web et ne déclencherait pas le téléchargement du ransomware si la version du système d’exploitation détectée correspondait à la chaîne de caractères "Windows".
Le problème provient du fait qu’il n’existe pas d’agent utilisateur contenant la chaîne de caractères "Windows" , car les chaînes de caractère des agent utilisateur du navigateur incluent également le numéro de version de Windows, tel que "Windows XP" ou "Windows 10".
Cela signifiait que l'instruction "if" renvoyait toujours la valeur true, quel que soit le système d'exploitation, et que le code malveillant effectuait la défiguration puis s'interrompait, annulant ainsi le téléchargement.
Selon une analyse de CyberArk, le fichier destiné à être téléchargé sur les systèmes des utilisateurs était une souche de ransomware inconnue qui aurait chiffré les fichiers si les utilisateurs l'exécutaient.
L’attaque de Nagich n’a duré que quelques heures samedi et le service a retrouvé l’accès à ses enregistrements DNS et a cessé de diffuser le code malveillant à la fin de la journée.
Vous nous aimez, prouvez-le....