Posté le avril 23, 2020 à 15:45
DES HACKERS PIRATENT 60 SERVEURS PUBLICITAIRES POUR LANCER DES CAMPAGNES PUBLICITAIRES MALVEILLANTES
Des rapports révèlent que certains groupes de hackers insèrent leurs publicités malveillantes sur des serveurs publicitaires depuis neuf mois. Les publicités malveillantes envoient indirectement les utilisateurs vers les sites de logiciels malveillants où les systèmes des utilisateurs sont infectés.
Confiant, une société de cybersécurité, a découvert la campagne de piratage publicitaire le mois dernier, bien que la campagne de logiciels malveillants soit en cours depuis le mois d’août de l’année dernière.
Comment les hackers agissent au moyen de publicités malveillantes
Confiant a rapporté que les cybercriminels ont infiltré des serveurs publicitaires qui utilisent des versions obsolètes du serveur publicitaire open source Revive. Les hackers ont infiltré les anciens serveurs et ont discrètement intégré des codes malveillants aux publicités en cours d’exécution. En conséquence, les utilisateurs qui cliquent sur les publicités pensent qu’ils cliquent sur une annonce authentique et sécurisée, pour être ensuite redirigés vers un serveur de logiciels malveillants sans qu’ils s’en rendent compte.
Une fois que les hackers ont réussi à charger les publicités malveillantes sur les sites légitimes, le code vole et redirige les visiteurs vers des sites qui fournissent des fichiers infectés par des logiciels malveillants. L’utilisateur peut ne pas se rendre compte facilement que les fichiers sont infectés par des logiciels malveillants car ils sont déguisés en mises à jour d’Adobe Flash Player.
Confiant a révélé avoir découvert qu’environ 60 serveurs publicitaires de Revive ont été infiltrés avec les publicités malveillantes.
La société de cybersécurité a déclaré que le groupe de hackers nommé Tag Barnake, a réussi à charger ses publicités malveillantes sur plusieurs milliers d’annonces. De plus, les taux de diffusion des publicités malveillantes ont été améliorés grâce à l’assimilation des enchères en temps réel (RTB) entre les services publicitaires.
Selon Eliya Stein, ingénieur en chef de la sécurité chez Confiant, un seul serveur RTB infecté pourrait porter le nombre d’impressions de publicités affectées à 1,25 million par jour.
« Si nous regardons les volumes derrière un seul des serveurs publicitaires RTB compromis, nous voyons des pics allant jusqu’à 1,25 [million] d’impressions publicitaires affectées en un seul jour », a-t-il déclaré.
Stein a également souligné que Tag Barmakke n’est pas un groupe connu pour utiliser de la publicité malveillante. Les groupes de hacker utilisant cette méthode utilisant des publicités malveillantes pour pirater les systèmes et les réseaux n’ont pas opéré à ce niveau d’attaques depuis longtemps. La dernière fois qu’un groupe a été aussi sophistiqué et intelligent que celui-ci remonte à 2016.
Les groupes utilisant de la publicité infectée ou malvertisers adoptent une approche totalement différente
Ces dernières années, de nombreux groupes de malvertisers ont utilisé une stratégie opérationnelle différente en mettant en place des réseaux de sociétés fictives qui achètent des publicités sur des sites authentiques. Après avoir acheté les publicités légitimes, ils modifient généralement les publicités et y insèrent des codes malveillants.
Cette ancienne stratégie a été utilisée par les hackers qui utilisent des publicités pour perpétuer leurs activités de piratage ces dernières années. Certains réseaux publicitaires douteux peuvent même se permettre d’ignorer les activités de certains de ces malvertisers qui achètent des publicités sur leur réseau, puisque les deux parties en tirent profit.
Mais cette nouvelle stratégie dépasse complètement la société de publicité et prend en charge ses serveurs pour répandre des logiciels malveillants par le biais d’une campagne publicitaire malveillante.
Selon Stein, cette nouvelle méthode n’est pas très populaire et n’est pas le moyen le plus facile d’infiltrer les systèmes par l’intermédiaire des publicités malveillantes. Mais c’est la plus efficace car le hacker aura le contrôle total du canal publicitaire, tout en se déguisant en serveur publicitaire légitime. Cependant, une fois qu’un serveur publicitaire a été compromis, on compterait que les hackers ont violé les lois.
La nouvelle méthode de malvertising a également un objectif différent, car tous les malvertisers n’ont pas les capacités et les compétences nécessaires pour attaquer un système de diffusion de publicité. Ils ont donc choisi de payer pour un créneau publicitaire, ce qui semble un peu plus facile que de démanteler habilement un serveur publicitaire.
Les attaques continuent
Stein et la société de sécurité Confiant ont informé les sociétés de publicité sur le piratage actuel des serveurs publicitaires. Mais certains annonceurs n’ont pas réagi en prenant des mesures de sécurité pour éviter d’être victimes. En conséquence, le groupe de hackers utilisant de la campagne publicitaire continue d’attaquer certaines de ces sociétés de publicité.
Selon Stein, malgré ses notifications, certains serveurs publicitaires sont toujours compromis, ce qui permet aux hackers de continuer leur piratage.
