En décembre 2007, le centre de décision et de veille contre les malwares du fournisseur de solutions de sécurité Finjan, détectait la présence sur la Toile d’un cheval de Troie baptisé Random JS Toolkit en raison de son caractère aléatoire. Quelques semaines plus tard, Finjan parle d’une dizaine de milliers de sites Web qui ont été compromis aux Etats-Unis par un troyen en voulant aux données de l’internaute infecté après visite, comme ses documents, mots de passe, habitudes de surf ou toute autre information sensible susceptible d’intéresser un cybercriminel digne de ce nom.

Random JS Toolkit est un code JavaScript qui est créé de façon dynamique et change à chaque fois qu’un internaute y a malencontreusement accès. Conséquence de son humeur pour le moins versatile, ce crimeware (vols de données) est presque impossible à détecter par des solutions de protection anti-malware traditionnelles, à savoir basées sur des signatures.

 » Réaliser une signature pour un script dynamique n’est pas efficace, de même que pour le code exploit lui-même puisque ces exploits changent continuellement pour tirer partie des nouvelles menaces 0-day. Tenir à jour une liste de domaines infectés n’offre pour sa part qu’une protection limitée contre ce vecteur d’attaque « , indique le responsable technique ( CTO ) de Finjan, Yuval Ben-Itzhak qui préconise le recours à une technologie d’inspection du Web en temps réel (en toute indépendance d’une URL spécifique) afin d’analyser le code avant son exécution sur le navigateur d’un utilisateur final.

Finjan rappelle qu’à la mi-2007, des études ont montré que près de 30 000 nouvelles pages Web infectées étaient créées chaque jour dont 80% contenaient du code malicieux. Les recherches de Finjan portant sur Random JS Toolkit ont quant à elles montré que près de 10 000 domaines légitimes l’ont délivré en décembre. Parmi les sites compromis, des sites identifiés comme hautement sûrs. L’éditeur a bien évidemment averti les administrateurs concernés pour qu’ils retirent le code incriminé.