L'auteur du Spammer's Compendium et créateur du filtre antispam PopFile, a publié sur son blog une analyse intéressante d'une attaque d'un genre redoutable.

Il s'agit de l'envoi d'un email usurpant l'apparence d'une plainte personnelle en provenance de l'organisme américain "Better Business Bureau". Un lien redirige l'internaute sur un site compromis qui cherche à faire télécharger aux victimes un ActiveX qui se révèle en fait être un troyen. Le schéma de cette attaque est classique et connu depuis fort longtemps; sa spécificité réside ici dans l'utilisation de vulnérabilités propres au site BBB.

En effet, le pirate utilise un paramètre mal formé du site Web BBB.org, qui autorise une redirection vers un site externe, et crédibilise donc l'attaque aux yeux des victimes potentielles. De plus, la variante de ce malware était détectée par seulement 3 antivirus sur 32 selon l'auteur. Seuls VirusBulletin et SpamExperts mentionnent à ce jour cet article. Mais il semble que ce type d'attaques soit utilisé "in-the-wild" depuis plusieurs semaines déjà.

Après l'exemple du phishing utilisant une faille XSS sur un site bancaire italien, il s'agit d'un nouvel exemple d'attaques ciblées et d'un niveau technique relativement avancé, qui utilisent en plus des vulnérabilités propres aux serveurs Web des sociétés dont l'identité est usurpée.