> http://forum.malekal.com/fiche-cerber-c ... ml#p418598
> http://forum.malekal.com/fiche-cerber-c ... ml#p420582
Dans les pays anglo-saxons, celles-ci sont encore plus actives que sur les sites francophones. Les sites grands publics (mainstream) dits de confiances sont les premiers à se faire piéger. Des campagnes visant les USA, la Grande Bretagne mais aussi l'Allemagne sont régulièrement signalées. Différents groupes de criminels se taillent la part du lion, certains disposent de moyens financiers considérables pour élaborer des infrastructures ingénieuses et hautement sophistiquées. Leur objectif est de passer "sous les radars" des entreprises spécialisées dans la sécurité, c'est à dire de rendre la découverte et la reproduction très difficile.
En 2013, un groupe utilisait une technique basée sur les requêtes DNS pour détecter le programme Fiddler, très prisé des chercheurs de campagnes malveillantes véhiculées sur le World Wild Web. Ce groupe, à l'origine de la campagne de malvertising du rançongiciel Kovter, utilisait des filtrages IP, seules les adresses de type résidentielles étaient rediriger vers un kit d'exploitation de vulnérabilités Angler EK configuré pour l'occasion.
Dernièrement, Trend-Micro et PointProof ont découvert un groupe ayant opéré durant 2015. Avec une infrastructure sophistiquée, ils ont réalisés une campagne de malvertising atteignant environ + de 1 500 000 de hits par jour. Imaginez le bénéfice net empoché chaque matin. L'étude montre qu'environ 10% à 20% des internautes ont été redirigés vers le kit d'exploitation de vulnérabilités Angler EK. Par chance, cette campagne de publicités malicieuses baptisée "AdGholas" ne semble pas avoir été active dans l'hexagone.
Exemple de bannière malicieuse :
Les bannières de malvertising peuvent être des images utilisant de la stéganographie qui, grâce aux évolutions et modernités de nos navigateurs, utilisent les fonctionnalités HTML5 avec JS+XMLDOM ( que le dieu des criminels bénisse le W3C ) afin de vérifier la présence des programmes installés ( logiciel de type client VPN,... ), la présence de fichiers sur le disque dur (carte graphique particulière ATI/NVidia/..), des logos OEM de Windows qui trahissent certaines informations (marque, constructeur,...) En revisitant cette technique utilisée par certaines agences de renseignement, les criminels ont pu identifier et collecter des informations. Une simple recherche de fichiers ATI/Nvidia avec une empreinte des infos OEM permet rapidement d'identifier la signature d'une machine virtuelle et par conséquent de l'exclure silencieusement de la campagne.
Ces campagnes de publicités malicieuses (malvertising) permettent d'infecter beaucoup de systèmes Microsoft Windows avec de codes malveillants spécialisés dans les vols bancaires ( Trojan Banker ). C'est le cas de "Terdot" en Grande Bretagne, de "Gootkit" en Espagne, de "SmokeBot", "Gozi ISFB / GozNym", ...
