Le malvertising ou publicité malicieuse est une technique de diffusion de logiciels malveillants via de la publicité en ligne. Au vu de la chute brutale de ce type d’activité au mois de juin, un observateur non averti pourrait conclure que les attaques de malvertising par « drive-by » deviennent moins préoccupantes. Penser cela serait une grave erreur.
Loin de s’éteindre paisiblement, les campagnes de malvertising évoluent et s’adaptent sans cesse. L’une de ces campagnes, surnommée AdGholas, a sévi pendant plus d’un an et piégé jusqu’à un million d’internautes quotidiennement, avant que Proofpoint n’alerte les réseaux publicitaires pour qu’ils la stoppent.
AdGholas démontre que les pirates actualisent constamment leurs techniques pour rester efficaces et indécelables face aux méthodes de défense les plus récentes.
Les kits d’exploitation sont les outils les plus prisés par les pirates pour cibler les internautes avec des téléchargements « drive-by ». Lorsque les internautes consultent un site infecté depuis un ordinateur vulnérable, le kit peut aussitôt télécharger plusieurs logiciels malveillants, à leur insu. Le malvertising désigne l’installation de logiciels malveillants et de liens dans les publicités de sites infectés. C’est l’une des pratiques qui génère le plus de trafic de kits d’exploitation. Elle est très utilisée par de larges secteurs du marché noir.
Le trafic des kits d’exploitation a connu un recul soudain au deuxième trimestre de cette année, amenant certains à s’interroger sur l’avenir des pirates informatiques.
Cependant, une étude récente de Trend Micro démontre que le malvertising se porte bien et que les pirates adoptent des méthodes toujours plus sophistiquées et innovantes.
Le malvertising profite des réseaux publicitaires légitimes et de réseaux de références souvent peu fiables pour afficher de la publicité sur un large éventail de sites Web.
L’une des techniques employées par AdGholas était de cibler avec précision des publicités malveillantes et de filtrer leurs impressions selon le fuseau horaire et les paramètres de langue du PC de la victime, voire de signaler que l’ordinateur provenait d’un fabricant d’équipement d’origine (OEM). L’« utilisateur moyen », qui tend à acheter ce type de matériel, était plus susceptible d’être ciblé.
Figure 1 : Les logiciels malveillants ciblent les PC provenant d’un OEM
AdGholas emploie ces méthodes et exploite les réseaux publicitaires et de références depuis 2015. En plus de cibler précisément ses victimes, il a recours à des sites méticuleusement clonés pour échapper à la détection (Figure 2).
Figure 2 : la campagne AdGholas utilise un site cloné pour éviter d’être détectée
AdGholas utilise de nombreux domaines au cours de ses campagnes, mais c’est avant tout l’ampleur de ses opérations qui impressionne. On estime que les réseaux de références, qui rassemblent plus de 20 agences marketing et plates-formes d’échange publicitaire, ont fourni 1 à 5 millions de références d’« excellente qualité » chaque jour. Une référence d’excellente qualité est un utilisateur susceptible de cliquer sur une publicité car elle est ciblée et lui semble pertinente. Il est également probable que son PC soit vulnérable aux attaques.
En outre, AdGholas a employé une méthode appelée stéganographie .La stéganograhie dissimule du code, notamment dans des images, du texte et du langage HTML, pour éviter que le contenu ne soit repéré par des méthodes de détection traditionnelles. Bien qu’utilisée de manière licite en cryptographie, cette technique a ici servi à propager des logiciels malveillants qui n’ont pas été détectés, car ils étaient dissimulés dans du code JavaScript en apparence inoffensif.
Toutes les campagnes AdGholas semblent aujourd’hui interrompues, grâce à la réactivité des représentants du secteur publicitaire. Cependant AdGholas et d’autres pirates d’envergure tels que VirtualDonna se sont montrés extrêmement résilients, il c’est pourquoi il est plus sur de continuer à surveiller l’évolution de la situation.
Bien que les bouleversements récents sur le marché des kits d’exploitation suggèrent une contraction de l’activité des logiciels malveillants de type drive-by, AdGholas démontre que la menace est loin de s’affaiblir. Au contraire, cela rappelle avec force que les attaquants s’adaptent constamment, que leurs techniques toujours plus sophistiquées, et qu’ils demeurent efficaces et indécelables face aux méthodes de défense les plus récentes.