Publicités malveillantes (malvertising) en fortes expansions

L'actualité & News Informatique!
Donc pas de demande d'aide dans cette partie.
Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86243
Inscription : 10 sept. 2005 13:57
Contact :

Publicités malveillantes (malvertising) en fortes expansions

Message par Malekal_morte » 02 août 2016 21:23

Les invasions de publicités malveillantes (malvertising) sont des sujets préoccupants qui ponctuent régulièrement les actualités IT. Elles sont présentes aussi bien sur des sites illégaux que ceux parfaitement légaux. J'en parlais récemment avec les rançongiciels chiffreurs de fichiers ( crypto-ransomware ) :

> fiche-cerber-crypto-ransomware-t54561.html#p418598
> fiche-cerber-crypto-ransomware-t54561.html#p420582

Dans les pays anglo-saxons, celles-ci sont encore plus actives que sur les sites francophones. Les sites grands publics (mainstream) dits de confiances sont les premiers à se faire piéger. Des campagnes visant les USA, la Grande Bretagne mais aussi l'Allemagne sont régulièrement signalées. Différents groupes de criminels se taillent la part du lion, certains disposent de moyens financiers considérables pour élaborer des infrastructures ingénieuses et hautement sophistiquées. Leur objectif est de passer "sous les radars" des entreprises spécialisées dans la sécurité, c'est à dire de rendre la découverte et la reproduction très difficile.

En 2013, un groupe utilisait une technique basée sur les requêtes DNS pour détecter le programme Fiddler, très prisé des chercheurs de campagnes malveillantes véhiculées sur le World Wild Web. Ce groupe, à l'origine de la campagne de malvertising du rançongiciel Kovter, utilisait des filtrages IP, seules les adresses de type résidentielles étaient rediriger vers un kit d'exploitation de vulnérabilités Angler EK configuré pour l'occasion.

Dernièrement, Trend-Micro et PointProof ont découvert un groupe ayant opéré durant 2015. Avec une infrastructure sophistiquée, ils ont réalisés une campagne de malvertising atteignant environ + de 1 500 000 de hits par jour. Imaginez le bénéfice net empoché chaque matin. L'étude montre qu'environ 10% à 20% des internautes ont été redirigés vers le kit d'exploitation de vulnérabilités Angler EK. Par chance, cette campagne de publicités malicieuses baptisée "AdGholas" ne semble pas avoir été active dans l'hexagone.

Exemple de bannière malicieuse :

Image

Les bannières de malvertising peuvent être des images utilisant de la stéganographie qui, grâce aux évolutions et modernités de nos navigateurs, utilisent les fonctionnalités HTML5 avec JS+XMLDOM ( que le dieu des criminels bénisse le W3C ) afin de vérifier la présence des programmes installés ( logiciel de type client VPN,... ), la présence de fichiers sur le disque dur (carte graphique particulière ATI/NVidia/..), des logos OEM de Windows qui trahissent certaines informations (marque, constructeur,...) En revisitant cette technique utilisée par certaines agences de renseignement, les criminels ont pu identifier et collecter des informations. Une simple recherche de fichiers ATI/Nvidia avec une empreinte des infos OEM permet rapidement d'identifier la signature d'une machine virtuelle et par conséquent de l'exclure silencieusement de la campagne.

Image

Ces campagnes de publicités malicieuses (malvertising) permettent d'infecter beaucoup de systèmes Microsoft Windows avec de codes malveillants spécialisés dans les vols bancaires ( Trojan Banker ). C'est le cas de "Terdot" en Grande Bretagne, de "Gootkit" en Espagne, de "SmokeBot", "Gozi ISFB / GozNym", ...
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86243
Inscription : 10 sept. 2005 13:57
Contact :

Re: Publicités malveillantes (malvertising) en fortes expans

Message par Malekal_morte » 07 déc. 2016 17:03

Les campagnes de publicités malicieuses du groupe "AdGholas" continuent de faire parler d'elles. Ils se sont spécialisés dans l'usage de la sténographie avec Steagano Exploit Kit.
C'est la bannière publicitaire qui utilise la sténographie, comprenant un JavaScript avec une iframe redirigeant vers un tinyurl ou autre URL courte comme goo.gl pour charger ensuite le Steagano Exploit Kit. Dans le cas observé, un Exploit Flash est utilisé qui charge un fichier GIF qui contient le malware/virus.
Plus d'informations, sur les Virus/Malwares et les images, lire le dossier :
Les virus dans les images

Exemple d'infection Steagano Exploit Kit

Image

Liens externes:
- https://www.proofpoint.com/us/threat-in ... lain-sight
- http://www.welivesecurity.com/2016/12/0 ... cious-ads/
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Répondre

Revenir vers « Actualité & News Informatique »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 1 invité