L'imagination des pirates n'a pas de limites comme ont pu le constater des spécialistes de la sécurité de chez ESET. Des attaques en drive by download ont été repérées sur le web russe et ne nécessitent pas d'interaction utilisateur pour infecter les ordinateurs avec les logiciels malveillants. La plupart des des attaques de ce type s'appuient sur des codes cachés, qui sont intégrés dans les sites webs, pour rediriger les visiteurs vers une page compromise. Cependant, les sites analysés par les chercheurs ne comprennent pas ces éléments cachés.
Au lieu de cela, un code JavaScript est ajouté aux fichiers locaux JS qui chargent la section « head » de chaque page HTML. Cela rend l'infection plus difficile à repérer explique les chercheurs en sécurité d'ESET dans un billet de blog. Le chargement d'un code JavaScript sur cet élément est une pratique très courante et n'est pas révélateur d'une compromission. Le code malveillant charge un fichier local JS depuis un site externe, mais seulement si le mouvement de la souris est détecté sur la page. Cette méthode est utilisée pour contourner le filtrage d'URL mis en oeuvre par les fournisseurs de solutions de sécurité afin de détecter les sites web compromis.
Une méthode simple, mais efficace
Il s'agit d'une technique simple, mais cela montre que les cybercriminels sont à la recherche des moyens plus proactifs pour différencier les visites humaines de celles  des robots des fournisseurs de solutions de sécurité, afin qu'ils puissent garder leurs attaques inaperçues pendant une plus longue période, expliquent les chercheurs d'ESET. « Il s'agit d'une évolution naturelle des attaques de type drive by download d'inclure du code malveillant pour détecter l'activité de l'utilisateur. »
Si le code détermine que la demande provient d'un utilisateur réel, alors le JavaScript injecte à la volée un iframe dans la page HTML, qui charge des attaques provenant de la boîte à outil Pack Nuclear. Cette dernière utilise des vulnérabilités sur des versions non corrigées de plug-in Java, Acrobat Reader ou Flash Player d'Adobe, pour exécuter du code à distance et infecter les ordinateurs.
Dans le cas trouvé par les chercheurs, l'installation de Nuclear Pack tente d'exploiter la vulnérabilité CVE-2012-0507 Java, qui a été patchée pour Windows en février dernier et pour Mac la semaine dernière, ainsi qu'une faille un peu plus vieille dans Adobe Reader, la CVE-2010-0188.