Le cursorjacking, ou détournement de curseur, est une technique malveillante visant à pousser un internaute à fournir des informations confidentielles ou à prendre le contrôle de son ordinateur en le poussant à cliquer sur des endroits d’une page apparemment sures. Le terme de cursorjacking a été inventé par Eddy Bordi, chercheur au sein des groupes Vulnerability.fr.
Principe du cursorjacking

Le CursorJacking est une attaque de type ClickJacking qui a pour particularité de « créer » un décalage entre l’endroit où vous semblez cliquer et l’endroit où vous cliquez réellement. De ce fait, on peut vous faire en théorie cliquer n’importe où. Cette attaque combinée à d’autres types de ClickJacking peut être extrèmement efficace et dangereuse.
Prévention

Il n’existe pour le moment aucune protection sur les différends navigateurs. On pourrait aisément imaginer une extension détectant dans les propriétés css le changement de curseur, cependant cela produirait également beaucoup de faux positifs.
PoCs

2 preuves de concept ont été publiées par eddy bordi , l’une peut jouer d’un fort décalage entre le réel curseur et le cureur affiché et utilise du JavaScript , l’autre ne peut effectuer qu’un décalage minime mais a l’avantage de ne pas utiliser JavaScript.


Vidéos de plusieurs exploitations de vulnérabilités de CursorJacking :
MFSA-2014-50 : https://www.mozilla.org/en-US/security/advisories/mfsa2014-50/ https://en.wikipedia.org/wiki/Clickjacking#Cursorjacking
Jordi Chancel, a researcher at Alternativ-Testing.fr, discovered a cursorjacking vulnerability using Flash, HTML and JavaScript code in Mozilla Firefox on Mac OS X systems (fixed in Firefox 30.0) which can lead to arbitrary code execution and webcam spying.[21]
A second CursorJacking vulnerability was again discovered by Jordi Chancel in Mozilla Firefox on Mac OS X systems (fixed in Firefox 37.0) using once again Flash, HTML and JavaScript code which can lead also to the spying of the webcam and the execution of a malicious addon allowing the execution of a malware on the computer of the trapped user.[22]

CursorJacking Google Chrome URL Spoofing :
Marcus Niemietz demonstrated this with a custom cursor icon, and in 2012 Mario Heiderich by hiding the cursor fixed in NoScript Security Addon for Firefox :
Webcam CursorJacking Vulnerability Example :


-Jordi Chancel