Certains sites d’hameçonnage détectent les machines virtuelles

0

Certains sites d’hameçonnage utilisent JavaScript pour échapper à la détection en vérifiant si un visiteur navigue sur le site à partir d’une machine virtuelle ou d’un appareil headless.

Les entreprises de cybersécurité utilisent couramment des appareils headless ou des machines virtuelles pour déterminer si un site Web est utilisé pour l’hameçonnage.

Pour contourner la détection, un kit d’hameçonnage utilise JavaScript pour vérifier si un navigateur fonctionne sous une machine virtuelle ou sans moniteur joint. S’il découvre des signes de tentatives d’analyse, il affiche une page blanche au lieu d’afficher la page d’hameçonnage.

Découvert par MalwareHunterTeam, le script vérifie la largeur et la hauteur de l’écran du visiteur et utilise l’API WebGL pour interroger le moteur de rendu utilisé par le navigateur.

hameçonnage

Lors de l’exécution des vérifications, le script va d’abord voir si le navigateur utilise un rendu logiciel, tels que SwiftShader, LLVMpipe, ou VirtualBox. Les rendus logiciels indiquent généralement que le navigateur s’exécute dans une machine virtuelle.

Le script vérifie également si l’écran du visiteur a une profondeur de couleur inférieure à 24 bits ou si la hauteur et la largeur de l’écran sont inférieures à 100 pixels, comme indiqué ci-dessous.

hameçonnage

S’il détecte l’une ou l’autre de ces conditions, la page d’hameçonnage affichera un message dans la console de développeur du navigateur et affichera une page vide au visiteur.

Toutefois, si le navigateur utilise un moteur de rendu matériel régulier et une taille d’écran standard, le script affichera la page d’hameçonnage.

Le code utilisé par ce pirate informatique semble avoir été tiré d’un article de 2019 décrivant comment JavaScript peut être utilisé pour détecter les machines virtuelles.

Fabian Wosar, directeur technique de la société de cybersécurité Emsisoft, a déclaré que les logiciels de sécurité utilisent une variété de méthodes pour scanner et détecter les sites d’hameçonnage. Ceux-ci incluent la vérification de signature et l’utilisation de l’apprentissage automatique pour la machine virtuelle.

« Du code comme celui ci-dessus fonctionne effectivement pour certaines de ces techniques. Cependant, il est facile de le contourner en accrochant juste quelques API JavaScript et en fournissant de « fausses » informations », a expliqué Wosar.

Comme il est courant pour les chercheurs et les sociétés de sécurité d’optimiser leurs machines virtuelles pour échapper à la détection par des logiciels malveillants, il semble qu’ils devront maintenant aussi les optimiser contre les attaques d’hameçonnage.

Si cet article vous a plu, jetez un œil à notre article précédent.

Laisser un commentaire