Les malfaiteurs achètent de l’espace à un réseau de publicité pour diffuser des campagnes malveillantes sur Internet, et utilisent désormais des noms de sites web qui semblent héberger des informations liées au coronavirus. Les publicitaires ne se doutent ainsi pas de leurs intentions malveillantes. Cette campagne malicieuse particulière héberge un kit d’exploitation appelé Fallout, qui tente d’exploiter les vulnérabilités des anciennes versions d’Internet Explorer, sans que l’utilisateur n’ait à intervenir ou ne se rende compte que quelque chose se passe, afin d’installer Kpot v2.0, un voleur d’informations et de mots de passe.

Le kit d’exploitation de Fallout existe depuis 2018 et a, pour la plupart, ciblé les utilisateurs japonais et sud-coréens. Le 26 mars dernier, les auteurs de la campagne ont enregistré le domaine covid19onlineinfo[..]com, et ont depuis fait tourner les domaines sur lesquels le kit d’exploitation est hébergé, enregistrant environ six domaines par jour pour tenter d’échapper aux détections des antivirus.

La publicité malveillante est généralement hébergée sur des sites de streaming et s’ouvre la plupart du temps automatiquement dans un nouvel onglet lorsque l’utilisateur clique sur le bouton de lecture pour visionner une vidéo. Lorsqu’un individu équipé de Fallout EK visite un site hébergeant la publicité malveillante et répond aux critères d’utilisation d’une version obsolète d’Internet Explorer, le kit d’exploitation tente d’accéder à l‘ordinateur de l’utilisateur. Il essaie d’exploiter une vulnérabilité dans Adobe Flash Player (CVE-2018-15982, correctif publié en janvier 2019), qui peut conduire à l’exécution arbitraire de code, et une vulnérabilité d’exécution à distance dans le moteur VBScript affectant plusieurs versions de Windows (CVE-2018-8174, correctif publié en mai 2018). Cela peut entraîner une panne d’Internet Explorer, le seul signe notable que l’utilisateur peut remarquer.

Le kit d’exploitation a précédemment infecté des ordinateurs avec divers voleurs de mots de passe/d‘informations et chevaux de Troie bancaires. Aujourd’hui, la version 2.0 de Kpot est en cours de diffusion. Il tente de voler des informations de base, telles que le nom et l‘identificateur global unique (GUID) de l’ordinateur, le nom d’utilisateur Windows, l’adresse IP, ou encore les logiciels installés sur l’appareil, en envoyant ces informations à un serveur de commande et de contrôle.

Au 14 avril 2020, Avast a empêché 178 814 tentatives d’attaques visant 96 278 utilisateurs dans le monde. La France fait partie des 10 pays les plus touchés dans le monde :

Pays / Tentatives d’attaques bloquées / Nombre d’utilisateurs visés
– Canada : 37,342 / 12,496
– USA : 30,001 / 13,930
– Japon : 17,306 / 8,438
– Espagne : 15,484 / 9,609
– Italie : 10,494 / 6,648
– Australie : 6,222 / 2,780
– Brésil : 5,833 / 4,051
– France : 5,813 / 4,183
– Turquie : 3,900 / 2,568
– Allemagne : 3,331 / 2,452

« Pour se protéger, les utilisateurs doivent avoir installé un logiciel antivirus, qui fera office de filet de sécurité, en détectant et en prévenant les attaques malveillantes comme celle-ci, indique Jan Vojt ?šek, malware analyst chez Avast. Il est également primordial de maintenir à jour en continu les logiciels, les navigateurs et les systèmes d’exploitation. Les mises à jour sont importantes car elles ne se contentent pas d’offrir de nouvelles fonctionnalités, mais peuvent inclure des patchs de sécurité pour corriger les vulnérabilités qui pourraient faire l’objet d’abus. Enfin, il est recommandé de désactiver Flash, sauf en cas d’utilisation nécessaire. Très peu de sites l’utilisent mais les cybercriminels continuent d’abuser de ses vulnérabilités ».