Les attaquants n’ont pas réussi à déclencher le téléchargement du logiciel pirate en raison d’une lamentable erreur de code, mais ont quand même pu altérer des milliers de sites.
Des pirates informatiques ont lancé samedi une cyberattaque infructueuse dans le but d’infecter des millions d’utilisateurs israéliens avec des ransomwares. Le ransomware est un logiciel rançonneur, logiciel de rançon ou logiciel d’extorsion, c’est à dire un logiciel malveillant qui prend en otage des données personnelles.
L’attaque aurait été perpétrée par des pirates informatiques opérant depuis la Palestine, sur la base des preuves actuelles. L’incident s’est produit le samedi 2 mars, lorsque des pirates informatiques ont réussi à empoisonner les enregistrements DNS de Nagich, un service web fournissant un widget d’accessibilité (a11y) intégré à des milliers de sites Web israéliens pour permettre l’accès des personnes handicapées à la lecture.
Selon des rapports d’experts en cybersécurité israéliens, des pirates informatiques ont utilisé le widget Nagich pour intégrer automatiquement du code malveillant sur des milliers de sites web israéliens.
A large third-party accessibility script is currently under an active DNS poisoning attack, served by @cloudflare‘s Israeli endpoint:
$ dig +short @1.1.1.1 https://t.co/c2ZLDNM0oY
172.81.182.63Malicious host is serving a message supporting #OpJerusalem pic.twitter.com/gdHJGwfV7n
— Yuval يوڤال Adam (@yuvadm) 2 mars 2019
Haha Israeli propaganda site @ynetnews has been hacked #OpJerusalem pic.twitter.com/LbVI7cgwUU
— Irfan Chowdhury (@irfan_c98) 2 mars 2019
Cependant, les choses ne se sont pas déroulées comme prévu pour les pirates. Alors que le message apparaissait sur des milliers de pages Web, y compris certains des plus grands sites d’information en Israël, le téléchargement de fichier n’a pas fonctionné.
Les chercheurs ont pourtant repéré le code destiné à déclencher le téléchargement du fichier lors de l’analyse des messages de remplacement.
Ils ont déclaré qu’une erreur de code empêchait l’opération de téléchargement automatique. L’erreur était que le code malveillant s’arrêterait après la défiguration du site web et ne déclencherait pas le téléchargement du ransomware si la version du système d’exploitation détectée correspondait à la chaîne de caractères « Windows ».
Le problème provient du fait qu’il n’existe pas d’agent utilisateur contenant la chaîne de caractères « Windows » , car les chaînes de caractère des agent utilisateur du navigateur incluent également le numéro de version de Windows, tel que « Windows XP » ou « Windows 10 ».
Cela signifiait que l’instruction « if » renvoyait toujours la valeur true, quel que soit le système d’exploitation, et que le code malveillant effectuait la défiguration puis s’interrompait, annulant ainsi le téléchargement.
Traduction : code de piratage nase.
Well, they maybe wanted to add #Ransomware ability, but they had error in their code. Only #defacement here.
Funny mistake.OS = ParseOS()
if (OS != « Windows ») // Do only defacement
OS can never be Windows exactly.— Idan Cohen (@_IdanCohen) 3 mars 2019
Here is the code in action. applause to newbie hackers! pic.twitter.com/YBhZMHnOGg
— Ido Naor (@IdoNaor1) 3 mars 2019
Selon une analyse de CyberArk, le fichier destiné à être téléchargé sur les systèmes des utilisateurs était une souche de ransomware inconnue qui aurait chiffré les fichiers si les utilisateurs l’exécutaient.
L’attaque de Nagich n’a duré que quelques heures samedi et le service a retrouvé l’accès à ses enregistrements DNS et a cessé de diffuser le code malveillant à la fin de la journée.
Cet article est une traduction de « Ransomware attack on Israeli users fails miserably due to coding error » initialement publié sur ZDNet.com