Des hackers ont utilisés les codes de Google Analytics pour masquer les codes malicieux qu'ils ont pu insérer dans des pages web via des failles de serveur.

Le problème a été identifié dans le forum d'assistance de Google Analytics, et a enflammé la sphère Twitter. Il s'agit d'une insertion de code qui renvoit le trafic vers un autre domaine. Le code malicieux s'insère dans les codes de GA, ce qui le rend difficile à identifier, et crée du trafic par l'insertion d'iframe ou d'autres procédés similaires.

Le hack utilise une regex pour modifier le code GA de htttp://www.google-analytics.com/ga.js en http://91.212.65.148/ga.js. Difficile d'y voir un code malicieux. Ce code javascript lance en fait le script http://91.212.65.148/image/pfgt.php qui execute un script exploitant une faille d'Adobe Reader (BID27641 et BID 34169, appelée par Symantec Bloodhound.Exploit.196), qui vise à son tour tous les fichiers ayant des noms identifiés par des mots celfs comme login, index, default, home et des extensions comme PHP, ASP ou HTML.

Comment font-ils ? Ils utilisent des failles de sécurité des serveurs appache HTTP et de mots de passe non cryptés sauvegardés par des CMS open source populaire comme Joomla au autre. Une fois la machine client infectée, des outils classiques sont utilisés pour moissonner d'autres mot de passes non cryptés et répandre encore l'attaque.

Le premier signalement de l'attaque date du 16 juin 2009. Comment savoir si vous êtes infectés vous aussi ? Regarder dans votre source la forme du tag GA, et vérifiez qu'il ne contienne pas des caractères étranges, ou quelque chose comme "document.write("<"+"i"+"f"+"ram"+"e"...

cf. immeria