Lorsque nous avons vu la nouvelle vidéo Fireship hier, nous avons immédiatement pensé à la récente attaque Polyfill. Notre premier article a été repris et référencé par la plupart des médias spécialisés en cybersécurité, et une semaine plus tard nous avons publié notre analyse post-mortem complète.
Lorsque Fireship a ensuite fait un reportage sur Tuaw, « The Unofficial Apple Weblog », que beaucoup de gens lisaient à l'époque, nous avons pensé qu'il était juste d'en parler également.
Un rapide récapitulatif avant d'aborder les éléments troublants :
Tuaw[.]com a été acquis par AOL, mais quelques années plus tard, en 2015, il a été fermé.
Pourtant, il y a quelques semaines, le site web a été remis en ligne. Ils ont fait passer la plupart des anciens articles par un outil de réécriture IA et les ont remis en ligne. D'abord en utilisant les anciens noms d'auteurs, puis en en renommant plusieurs comme nous le verrons plus tard.
De nouveaux articles ont également été ajoutés. Un examen plus approfondi révèle qu'ils sont probablement aussi générés par IA de bas niveau et automatisés.
Une société basée à Hong Kong nommée « WebOrange » a squatté le domaine et possède maintenant ce site web.
Le reportage de Fireship s'arrête là, mais voici pourquoi nous pensons que cela pourrait potentiellement être un problème en préparation.
Méfiez-vous de Tuaw[.]com
Dans la récente attaque Polyfill, nous avons vu un cas où plusieurs sites web référençaient encore le domaine Polyfill[.io] et d'autres dans leur code. Lorsque le domaine a ensuite été acquis, il a été utilisé pour insérer du code malveillant qui redirigeait les utilisateurs vers des sites web frauduleux.
Tuaw[.] est immédiatement moins dangereux que Polyfill[.]io. À notre connaissance, ils n'ont jamais diffusé de scripts utilisés par d'autres sites web. Mais comme ils étaient autrefois un média d'information très populaire, de nombreux sites ont des liens vers leurs anciens articles.
Un exemple que nous avons trouvé est celui-ci sur les forums MacRumors :
Ce lien « tuaw[.]com/2011/03/24/wooden-ipad-2-cover-outsmarts-apples-smart-cover/ » redirige vers « tuaw[.]com/ipad/accessories/ ».
Ce qui pourrait être suspect, et est potentiellement une arnaque en préparation.
LabelCantine a creusé un peu plus il y a quelques semaines, et a découvert que Tuaw a changé le nom des anciens journalistes après des menaces d'action en justice :
Nous pouvons également voir que les derniers articles téléchargés l'ont tous été à quelques minutes d'intervalle :
Et, bien que ce ne soit pas infaillible, l'image utilisée pour Paul Terpstra est probablement générée par IA :
Le domaine détient toujours un fort potentiel SEO, et commencera facilement à se classer rapidement. Ce qui signifie que tout cela pourrait simplement être une stratégie SEO destinée à générer du trafic. La monétisation par la publicité ou les redirections sont des scénarios que nous avons déjà vus auparavant.
L'importance de la sécurité côté client
Les risques purement côté client sont faibles avec Tuaw[.]com. Néanmoins, il est important de garder un œil sur ce domaine. Ces autres domaines appartenant à cette société selon LabelCantine lié ci-dessus, ont suivi des techniques similaires :
- iLounge[.]com
- Soup[.]io
Si votre site référence l'un d'entre eux, nous vous recommandons de les examiner et de les supprimer.
Pour protéger votre site contre les attaques JavaScript côté client, utilisez cside gratuitement dès maintenant.
