Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Une campagne de Malvertising mise en lumière par les équipes de chercheurs Check Point

août 2018 par Check Point

Les chercheurs de Check Point ont mis en lumière une campagne de Malvertising sévissant actuellement sur des dizaines de milliers de sites WordPress. Cette dernière est menée par 4 acteurs bien connus, Slyip, BlackTDS, Seamless et HookAds, qui utilisent le kit d’exploitation RIG pour propager des chevaux de Troie bancaires, des ransomwares, des bots etc.

Pour ceux qui ne connaissent pas le fonctionnement du secteur (désormais complexe) de la publicité en ligne, il suffit de comprendre que ce secteur repose sur trois éléments principaux  :

1) Les a nnonceurs qui souhaitent promouvoir leurs produ its ou leurs contenus.

2) Les é diteurs qui allouent de l’espace sur leur site web et le vendent aux annonceurs.

3) Les r éseaux publicitaires qui achètent l’espace publicitaire et connectent les annonceurs aux éditeurs. Les «  revendeurs  » sont des acteurs suppl émentaires. Ces entreprises collaborent avec les réseaux publicitaires pour revendre le trafic collecté par ces derniers auprès des éditeurs à autres annonceurs.

La chaîne de publicité en ligne

La campagne de publicités malveillantes découverte a révélé un partenariat inquiétant entre un pirate déguisé en éditeur (surnommé «  Master134  ») et plusieurs revendeurs légitimes, pour exploiter cette relation et diffuser une grande variété de logiciels m alveill ants tels que des chevaux de Troie bancaires, des logiciels rançonneurs et des bots. Cette campagne s’est déroulé e sur le puissant réseau publicitaire AdsTerra. Une analyse complète de cette opération de publicités malveillantes bien planifiée est d isponible via ce lien .

En résumé, l’étude a révélé la manière dont Master134 redirigeait le trafic détourné de plus de 10 000 sites WordPress piratés . En effet, Mats er134 le vendait à AdsTerra, la plateforme d’enchères en temps réel (RTB), qui le revendait ensuite à des revendeurs tels que ExoClick, AdKernel, EvoLeads et AdventureFeeds. Ces derniers transmettaient par la suite ce trafic à l’annonceur le plus offrant. Cependant, à la place d’ une entreprise légitime , ces «  annonceurs  » étaient des pirates cherchant à diffuser des logiciels rançonneurs, des chevaux de Troie b ancaires, des bots et autres logiciels malveillants, sur le trafic de Master134. Dans ce cas précis , les cybercriminels jettent le discrédit sur l’écosystème de la publicité en ligne en exploitant à leur avantage les plates-formes d’enchères automatisées des réseaux publicitaires et des revendeurs. Ils le font en proposant des enchères aux côtés d’annonceurs légitimes, comme Nike ou Coca Cola, mais en plaçant des enchères plus élevées, afin que les réseaux publicitaires sélectionnent leurs annonces chargé es de logiciels malveillants pour les afficher sur des milliers de sites web. Dans l’exemple ci-dessus, des «  éditeurs malveillants  » tels que Master134 peuvent également recevoir des paiements via les réseaux publicitaires eux-mêmes. De cette façon, l’éco système de la publicité en ligne est utilisé pour dissimuler un système de paiement frauduleux.

Les annonceurs malveillants (ou pirates déguisés en annonceurs) peuvent même mesurer le retour sur investissement de leurs dépenses publicitaires par rapport au revenu généré par les utilisateurs infectés qui paient la rançon pour déverrouiller leurs fichiers suite aux attaques de ransomwares , ou l’argent drainé des comptes bancaires des victimes suite aux attaques de chevaux de Troie bancaires.

L’opération publicitaire malveillante orchestrée par Master134 et les pirates qui enchérissent pour contrer les offres des annonceurs légitimes. Attraction fatale vers la publicité malveillante Bien sûr, la publicité malveillante n’est pas un phénomène nouveau. Compte tenu des dépenses sur le marché mondial des médias numériques, qui devraient atteindre les 357 milliards de dollars d’ici 2020 selon un rapport de eMarketer , il n’est pas surprenant que les cybercriminels aient repéré depuis longtemps c es occasions de manipuler la relation entre les annonceurs et les éditeurs pour s’arroger une part des dépenses . Au cours des dix dernières années, les publicités affichées sur des sites web légitimes et souvent populaires sont apparues comme un moyen essentiel pour les criminels d’infecter des utilisateurs sans méfiance. Dans certains cas, les annonces contiennent d u code malveillant qui exploite des vulnérabilités non corrigées dans les navigateurs ou les plugins de navigateurs, tels qu’Adobe Flash Player. De telles publicités sont en mesure d’installer des logiciels rançonneurs, des enregistreurs de frappe et d’au tres types de logiciels malveillants .

En conséquence, l’utilisation de bloqueurs de publicités s’est rapidement développée, avec 22 % des citoyens britanniques qui les utilisent. Mais selon l’IAB (Internet Advertising Bureau), ce nombre a stagné en raiso n des éditeurs qui empêchent désormais les utilisateurs équipés de bloqueurs de publicités d’accéder à leur site. Ainsi, en février , Google a pris les choses en main en s’associant avec l’organisme Coalition for Betters Ads afin de lancer u n bloqueur de publicité sur Google Chrome qui supprime désormais automatiquement les publicités dont la qualité ne respecte pas les normes du secteur. Le bloqueur de publicités de Google se préoccupe cependant plus des annonces intempestives que des publicités malveillantes, et n’est donc pas la solution pour mettre fin à cette forme très rentable de cybercriminalité.

En effet, en raison de la nature de l’écosystème publicitaire en ligne, qui permet aux éditeurs de se connecter aux annonceurs via un système complexe d’intermédiaires et d’échanges, les variables de ciblage sont trop nombreuses pour permettre à Google ou aux réseaux publicitaires de détecter toute publicité malveillante. Comme indiqué précédemment, les annonceurs utilisent les plateformes d’enchères en temps réel des revendeurs et des réseaux publicitaires pour présenter leurs annonces à des utilisateu rs précis . Ces annonces incluent du code JavaScript personnalisé dans les navigateurs. Le contenu exact que les utilisateurs voient dépend d’eux, de leur localisation, du type d’appareil qu’ils utilisent et de nombreuses autres variables. Il est donc extrê mement difficile pour les éditeurs et les réseaux publicitaires d’examiner de manière concluante chaque version d’une annonce à la recherche de contenus malveillants. Du point de vue des annonceurs malveil lants , les uti lisateurs peuvent être ciblés, que leurs systèmes d’exploitation ou leurs navigateurs soient corrigés ou non . Ainsi, même si une analyse de haut niveau est effectuée pour s’assurer que les créations sont saines et à moins de trouver la combinaison exacte des caractéristiques ciblées par les annonceurs malveillants, les réseaux publicitaires ne peuvent tout simplement pas détecter l’activité malveillante. Toujours avoir un plan de secours Notre étude soulève clairement des questions sur les méthodes de vérification des annonces utilisées dans le secteur de la publicité en ligne, et le rôle actuel des réseaux publicitaires dans l’ensemble de l’écosystème de la publicité malveillante. En effet, comme on le voit dans cette analyse, il semble que ces entreprises soient , au mieux , manipulé es , et au pire complices, puisqu’ elles facilit e nt ces attaques. Dans la mesure où ces attaques ciblent des postes plutôt que le réseau, les entreprises ont besoin d’une approche multicouche de leur cybersécurité pour se protéger pleinement, non seulement contre les menaces connues, mais également contre les logiciels malveillants incon nus et les menaces zero-day telles que les publicités malveillantes. Check Point SandBlast Zero-Day Protection et Mobile Threat Prevention protègent contre quasiment tous les types d’attaques en constante évolution, et protègent également contre les varia ntes de logiciels malveillants.




Voir les articles précédents

    

Voir les articles suivants