Les machines virtuelles désormais détectées par les sites de phishing pour contourner la détection
A présent, les sites de phishing utilisent JavaScript dans le but d’échapper à la détection en vérifiant si un visiteur navigue sur le site à partir d’une machine virtuelle ou d’un appareil sans tête. En général, les sociétés de cybersécurité utilisent des appareils headless ou des machines virtuelles afin de savoir si un site web est utilisé pour le phishing. Dans le cadre du contournement de la détection, un kit de phishing utilise JavaScript pour vérifier si un navigateur s’exécute sous une machine virtuelle ou sans moniteur connecté. Dans le cas où des signes de tentatives d’analyse sont découverts, il affiche une page vierge à la place de la page de phishing. Ce script a été découvert par MalwareHunterTeam et permet de vérifier la largeur ainsi que la hauteur de l’écran du visiteur et utilise l’API WebGL pour interroger le moteur de rendu utilisé par le navigateur.
Lorsque ces vérifications sont exécutées, le script verra d’abord si le navigateur utilise un moteur de rendu logiciel, comme SwiftShader, LLVMpipe ou VirtualBox. Généralement, les moteurs de rendu logiciels indiquent que le navigateur s’exécute dans une machine virtuelle. Le script arrive aussi à vérifier si l’écran du visiteur dispose d’une profondeur de couleur en dessous de 24 bits ou si la hauteur ainsi que la largeur de l’écran sont inférieures à 100 pixels. S’il arrive à détecter l’une de ces conditions, un message sera affiché dans la console développeur du navigateur par la page de phishing et le visiteur verra une page vide. Néanmoins, dans le cas où le navigateur utilise un moteur de rendu matériel standard et une taille d’écran standard, le script affichera la page de destination de phishing.
D’après le directeur technique de la société de cybersécurité Emsisoft nommé Fabian Wosar, les logiciels de sécurité utilisent une variété de procédés pour la recherche et la détection des sites de phishing. Il s’agit notamment de la correspondance de signature et de la machine visuelle utilisant l’apprentissage automatique. Etant donné qu’il est fréquent pour les chercheurs ainsi que les entreprises de sécurité de renforcer leurs machines virtuelles pour échapper à la détection par les logiciels malveillants, il semblerait qu’ils vont devoir à présent les renforcer davantage pour faire face aux attaques de phishing.