Posté le août 1, 2019 à 9:15
DEUX NOUVELLES CAMPAGNES DE LOGICIELS MALVEILLANTS SÈMENT LA TERREUR SUR INTERNET
Selon des chercheurs en sécurité, deux nouvelles campagnes de malvertising ont récemment fait leur apparition et ont volé la vedette en exploitant des structures alambiqués de l’économie en ligne pour en trouver des victimes.Le premier des deux est une importante campagne d’exploit kit qui peut contourner les bloqueurs de publicité, tandis que le second est connu pour cibler les utilisateurs Mac via des redirections Web.
Cisco Talos affirme qu’une campagne d’Exploit kit RIG peut se propager avec une barre d’outils infectée téléchargée lors de l’installation du logiciel.Quant à l’autre, il redirige simplement les navigateurs Safari utilisés par les utilisateurs Mac vers un domaine qui fournit un installateur Flash Player infecté par des logiciels malveillants.
Les chercheurs affirment que la publicité en ligne, aussi complexe et compliquée qu’elle soit, constitue un moyen idéal pour de telles attaques malveillantes. Dans leur annonce publiée ce mercredi, les chercheurs soulignent que le public ne doit pas ignorer cette menace, car n’importe qui peut recevoir des publicités malveillantes qui sortent de nulle part.
Campagne de logiciel malveillant #1: RIG EK
La première campagne de logiciels malveillants qui utilise RIG EK (Exploit Kit) a ciblé ceux qui recherchent des logiciels de sécurité sur Internet.Selon les chercheurs, une simple recherche sur le Web peut donner toutes sortes de résultats différents.Certains sont légitimes mais coûteux.D’autres sont gratuits, mais seulement semi-légitimes, et viennent souvent avec plus que ce que l’utilisateur avait demandé.
L’un de ces sites est USB Guardian qui prétend empêcher votre appareil d’être infecté par un ver et scanne les USBs.En réalité, cependant, le téléchargement d’USB Guardian télécharge également une barre d’outils appelée «Best Security Tips», qui est infectée par des logiciels malveillants.La barre d’outils envoie alors une série de requêtes web dès qu’elle est installée, et la première va vers le réseau publicitaire connu sous le nom de Daily Ads.
Cela ne s’arrête toutefois pas là.Mais cela ne s’arrête pas là. Il modifie la page d’accueil du navigateur, ainsi que le moteur de recherche par défaut, qui permet aux hackers de modifier les résultats de recherche et de favoriser la fraude au clic, la publicité excessive, et d’autres encore.Tout cela pourrait conduire à une infection complète par les logiciels malveillants tout en permettant aux hackers de diffuser efficacement le contenu sur les systèmes finaux.
Tôt ou tard, une requête est également envoyée à «ww7.dailyads[…]org» qui envoie alors X-Adblock-Key.Il s’agit d’une clé API qui permet aux annonces de contourner la plupart des bloqueurs de publicités populaires.La plupart du temps, les bloqueurs de publicité empêchent la diffusion de publicités malveillantes, ce qui explique pourquoi elles sont particulièrement gênantes pour les hackers.Désormais, la présence de la clé implique qu’un ou plusieurs des principaux bloqueurs de publicité ne protègent pas leurs utilisateurs aussi bien qu’avant.
Les hackers ont déjà réussi à toucher un certain nombre de sites Web dans différents secteurs.Tout y est y compris les actualités, la musique, la pop-culture, le design, les courses, etc.Selon Talos, des publicités malveillantes peuvent être trouvées même parmi les 5 000 sites Web les plus populaires sur Internet.
La malvertising elle-même est assez populaire auprès des attaquants, car elle leur fournit un vaste ensemble de victimes.Aucune autre option n’offre un aussi grand nombre de victimes potentielles.Par exemple, si des attaquants compromettaient un site Web, ils ne pourraient jamais infecter ceux qui visitent ledit site.Avec la publicité malveillante, ils peuvent infecter les victimes partout sur Internet avec peu d’effort.
Talos a même confirmé que certains des 100 meilleurs sites sur Alexa étaient indirectement liés à la campagne de malvertising, qui peut faire des millions et des millions de victimes potentielles.
Campagne de logiciel malveillant #2:le domain parking
Ensuite, il y a la deuxième campagne, qui a été détectée plus tôt cette année, en juin.Les chercheurs de Talos ont découvert un site Web qui redirige les navigateurs Safari vers un domaine malveillant.Le domaine offre l’installateur Flash Player, qui est, bien sûr, infecté par des logiciels malveillants.La campagne elle-même a été rendue possible grâce à un service commun connu sous le nom de «domain parking».
En termes simples, cela signifie qu’il n’est pas nécessaire pour les propriétaires de domaines d’attendre que les utilisateurs cliquent sur les annonces pour générer des revenus.Au lieu de cela, ils prennent le trafic inoffensif qui renverrait habituellement une erreur, et ils la redirigent vers leur réseau publicitaire.Cette méthode s’appelle trafic zéro clic et elle est vendue sur les marchés du trafic.
Désormais, ce domain parking permet aux utilisateurs de choisir une catégorie de domaine spécifique pour affecter les enchères, le navigateur, la géolocalisation, le système d’exploitation, etc.Même l’âge et les données démographiques pourraient être utilisés pour préciser qui peut voir l’annonce.
Au cours de l’enquête, les chercheurs ont découvert que le domaine original était hébergé par un service de parking en Lituanie.L’hébergeur était associé à environ 95 % des 700 échantillons de logiciels malveillants de Threat Grid de Cisco.Il a également accueilli des centaines de domaines.
En d’autres termes, il est plus que probable que le navigateur Safari sera redirigé vers le domaine avec l’installateur Flash Player malveillant, et si l’utilisateur essaie de le télécharger, son système sera infecté par un logiciel malveillant connu sous le nom de Shlayer.
