Vous utilisez Opera? Un danger vous guette selon Bitdefender

Un script malveillant obscurci chargé par l’adresse hxxp://portal.opera.com redirigeait les utilisateurs vers une page malveillante hébergeant le célèbre exploit BlackHole. Le script a sans doute été chargé via une publicité publiée par un tiers, une pratique appelée « malvertising ».

Ce code dissimulé dans la page d’accueil du portail d’Opera insère une iFrame qui charge du contenu malveillant à partir d’une source externe. Si l’utilisateur d’Opera n’a pas changé sa page d’accueil par défaut, il chargera involontairement du contenu actif malveillant à partir d’un site Web tiers lorsqu’il ouvre son navigateur.

Cette page malveillante héberge le kit d’exploits BlackHole (l’éditeur a reçu l’échantillon par un fichier PDF contenant l’exploit CVE-2010-0188) qui infecte l’utilisateur malchanceux avec une variante de ZBot récemment compilée, indéxée par Bitdefender sous le nom de « Trojan.Zbot.HXT ». Le malware ZBot se trouve sur un serveur en Russie, qui a probablement été victime lui aussi d’une attaque, permettant un accès non autorisé via FTP.

Bitdefender détecte le script sous le nom de « Trojan.Script.478548 » ; la page incriminée chargée par le Portail d’Opera a également été bloquée dès le début de l’attaque par le bloqueur d’URL dans le cloud.