in

Une campagne de malvertising innovante menace des millions d’internautes – Gérard Beraud-Sudreau chez Proofpoint

Le malvertising ou publicité malicieuse est une technique de diffusion de logiciels malveillants via de la publicité en ligne. Au vu de la chute brutale de ce type d’activité au mois de juin, un observateur non averti pourrait conclure que les attaques de malvertising par « drive-by » deviennent moins préoccupantes. Penser cela  serait une grave erreur.

Loin de s’éteindre paisiblement, les campagnes de malvertising évoluent et s’adaptent sans cesse. L’une de ces campagnes, surnommée AdGholas, a sévi pendant plus d’un an et piégé jusqu’à un million d’internautes quotidiennement, avant que Proofpoint n’alerte  les réseaux publicitaires pour qu’ils la stoppent.

AdGholas démontre que les pirates actualisent constamment leurs techniques pour rester efficaces et indécelables face aux méthodes de défense les plus récentes.

Les kits d’exploitation sont les outils les plus prisés par les pirates pour cibler les internautes avec des téléchargements « drive-by ». Lorsque les internautes consultent un site infecté depuis un ordinateur vulnérable, le kit peut aussitôt télécharger plusieurs logiciels malveillants, à leur insu. Le malvertising désigne l’installation de logiciels malveillants et de liens dans les publicités de sites infectés. C’est l’une des pratiques qui génère le plus de trafic de kits d’exploitation. Elle est très utilisée par de larges secteurs du marché noir.

Le trafic des kits d’exploitation a connu un recul soudain au deuxième trimestre de cette année, amenant certains à s’interroger sur l’avenir des pirates informatiques.

Cependant, une étude récente de Trend Micro démontre que le malvertising se porte bien et que les pirates adoptent des méthodes toujours plus sophistiquées et innovantes.

Le malvertising profite des réseaux publicitaires légitimes et de réseaux de références souvent peu fiables pour afficher de la publicité sur un large éventail de sites Web.

L’une des techniques employées par AdGholas était de cibler avec précision des publicités malveillantes et de filtrer leurs impressions selon le fuseau horaire et les paramètres de langue du PC de la victime, voire de signaler que l’ordinateur provenait d’un fabricant d’équipement d’origine (OEM). L’« utilisateur moyen », qui tend à acheter ce type de matériel, était plus susceptible d’être ciblé.

malvertising

Figure 1 : Les logiciels malveillants ciblent les PC provenant d’un OEM

AdGholas emploie ces méthodes et exploite les réseaux publicitaires et de références depuis 2015. En plus de cibler précisément ses victimes, il a recours à des sites méticuleusement clonés pour échapper à la détection (Figure 2).

malvertising2

Figure 2 : la campagne AdGholas utilise un site cloné pour éviter d’être détectée

AdGholas utilise de nombreux domaines au cours de ses campagnes, mais c’est avant tout l’ampleur de ses opérations qui impressionne. On estime que les réseaux de références, qui rassemblent plus de 20 agences marketing et plates-formes d’échange publicitaire, ont fourni 1 à 5 millions de références d’« excellente qualité » chaque jour. Une référence d’excellente qualité est un utilisateur susceptible de cliquer sur une publicité car elle est ciblée et lui semble pertinente. Il est également probable que son PC soit vulnérable aux attaques.

En outre, AdGholas a employé une méthode appelée stéganographie .La stéganograhie dissimule du code, notamment dans des images, du texte et du langage HTML, pour éviter que le contenu ne soit repéré par des méthodes de détection traditionnelles. Bien qu’utilisée de manière licite en cryptographie, cette technique a ici servi à propager des logiciels malveillants qui n’ont pas été détectés, car ils étaient dissimulés dans du code JavaScript en apparence inoffensif.

Toutes les campagnes AdGholas semblent aujourd’hui interrompues, grâce à la réactivité des représentants du secteur publicitaire. Cependant AdGholas et d’autres pirates d’envergure tels que VirtualDonna se sont montrés extrêmement résilients, il c’est pourquoi il est plus sur de continuer à surveiller l’évolution de la situation.

Bien que les bouleversements récents sur le marché des kits d’exploitation suggèrent une contraction de l’activité des logiciels malveillants de type drive-by, AdGholas démontre que la menace est loin de s’affaiblir. Au contraire, cela rappelle avec force que les attaquants s’adaptent constamment, que leurs techniques toujours plus sophistiquées, et qu’ils demeurent efficaces et indécelables face aux méthodes de défense les plus récentes.

Corinne
Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès. Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication. Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.

Written by Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès.
Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication.
Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.