Developpez.com

Club des développeurs et IT pro
Plus de 4 millions de visiteurs uniques par mois

Une campagne de publicités vérolées ciblant les utilisateurs Windows et OS X
Sévit sur Yahoo, YouTube, Amazon et d'autres sites

Le , par Stéphane le calme, Chroniqueur Actualités
Selon des chercheurs de Cisco, une nouvelle campagne de diffusion de malware via des publicités vérolées a été découverte et affecte au total 74 domaines, parmi lesquels amazon.com, ads.yahoo.com, youtube.com, javaupdating.com ou encore winrar.com.

Talos Security Research a découvert une campagne à grande échelle de malvertising (ou malware advertising), une méthode permettant à un hacker de s’appuyer sur la publicité pour télécharger son malware. A cause du nom de centaines de sous-domaines appartenant à ce réseau, plus précisément « stan.mxp2099.com » et « kyle.mxp2038.com », les chercheurs de Cisco ont décidé de baptiser cette campagne « Kyle and Stan ».

Concrètement, même si l’attaque avait plusieurs variantes, voici les étapes autour desquelles chacune d’elles gravitait :

  1. l’utilisateur visite une page avec une publicité vérolée ;
  2. il est ensuite redirigé vers un site différent qui effectuera une redirection en fonction du paramètre user agent : suivant que l’utilisateur se trouve sur Windows ou sur Mac, il sera redirigé vers le malware approprié pour affecter son système d’exploitation ;
  3. la page finale amorce le téléchargement du fichier vérolé.



Une fois les victimes redirigées vers l’URL finale, le site lance automatiquement le téléchargement d’une pièce unique de malware pour chaque utilisateur. Le fichier se présentera sous la forme d’un logiciel légitime, comme un lecteur média, et embarquera le malware ainsi qu’une configuration unique pour chaque utilisateur. « Les attaquants se basent totalement sur des techniques de social engineering afin d’amener l’utilisateur à installer le package logiciel », expliquent les chercheurs.

La taille du réseau « Kyle and Stan » est difficile à estimer. Cependant, les chercheurs ont pu trouver jusqu’à présent plus de 700 domaines affiliés à ce réseau, même s’ils estiment qu’ils ne doivent probablement être que la partie émergée de l’iceberg. « Le processus pourrait être automatisé, ce qui facilite la création d’un grand nombre de domaines », ont avancé les chercheurs.

« Le nombre important de domaines permet à des hackers d’utiliser un domaine particulier sur un temps très limité, de le détruire et d'en utiliser un autre en vue des prochaines attaques », a expliqué Armin Pelkmann, co-auteur de la recherche. Chaque malware déployé dispose d'une empreinte unique « ce qui permet de contourner les solutions de sécurité qui se basent sur la réputation et les listes noires », a-t-il expliqué.

Cisco n’a pas identifié le réseau d’annonces qui sert de relai à la transmission des publicités vérolées. Bien que les régies publicitaires essaient de filtrer les annonces qui sont diffusées, il arrive occasionnellement que des annonces vérolées passent entre les mailles, ce qui est équivalent à un grand nombre de victimes potentielles pour un site avec un fort trafic.

« Kyle and Stan » est en activité depuis le 05 mai et les activités les plus importantes ont été enregistrées entre la mi-juin et début juillet, mais les attaques continuent d’être perpétrées. Une liste complète des domaines référents au réseau « Kyle and Stan » est disponible sur le blog de Cisco.

Source : blog Cisco

Et vous ?

Qu'en pensez-vous ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de kipkip kipkip - Membre régulier http://www.developpez.com
le 10/09/2014 à 17:03
Une fois les victimes redirigées vers l’URL finale, le site lance automatiquement le téléchargement d’une pièce unique de malware pour chaque utilisateur. Le fichier se présentera sous la forme d’un logiciel légitime, comme un lecteur média, et embarquera le malware ainsi qu’une configuration unique pour chaque utilisateur. « Les attaquants se basent totalement sur des techniques de social engineering afin d’amener l’utilisateur à installer le package logiciel », expliquent les chercheurs.

Le téléchargement du logiciel se fait tout seul mais son exécution est lancée par l'utilisateur.

J'ai un peu de mal à comprendre comment ils peuvent faire pour inciter le lancement du package, perso si je regarde mes mails et qu'on me demande d'installer un lecteur media je vais trouver ça louche...
Je sous estime certainement le "social engineering".

Je vais changer mon user agent et me mettre un truc exotique
Avatar de Zefling Zefling - Membre émérite http://www.developpez.com
le 10/09/2014 à 20:05
kipkip, merci d'arrêter de croire que tout le monde est toi. Une bonne partie de malware fonctionnent sur la crédulité de l'utilisateur et s'ils continuent c'est que ça fonctionne. Hélas....
Avatar de imikado imikado - Rédacteur http://www.developpez.com
le 10/09/2014 à 21:36
Le plus vicieux, ce sont les macros: vous faites télécharger à la victime un powerpoint (avec une macro malicieuse) avec un nom générique (perles du bac...)
A un moment, l'utilisateur va faire le ménage dans son repertoire de téléchargements et cliquer innocemment sur ce powerpoint qu'il pense avoir recu d'un collègue/ami

Les macros permettent énormément de choses, c'est très inquiétant d'ailleurs que l'on ne puisse pas, comme sur Android définir les droits qu'on lui accorde
Avatar de miky55 miky55 - Membre averti http://www.developpez.com
le 11/09/2014 à 8:51
Citation Envoyé par imikado  Voir le message
Le plus vicieux, ce sont les macros

Effectivement les néophytes ne se méfient que des .exe alors que pleins d'autres fichiers peuvent contenir du code exécutable: doc, xls, pdf, js, bat, com(vicieux le .com) ... Par contre il me semble que les macros ne s’exécutent plus automatiquement au lancement d'un document office depuis longtemps.
Avatar de miky55 miky55 - Membre averti http://www.developpez.com
le 11/09/2014 à 8:57
Citation Envoyé par kipkip  Voir le message
Je sous estime certainement le "social engineering".

Tout le monde n'est pas professionnel de l'informatique... Et même certains pourraient se laisser attraper par un document.doc.exe sont l'icone a été remplacée, surtout si par défaut les extensions ne sont pas affichées...
Avatar de imikado imikado - Rédacteur http://www.developpez.com
le 11/09/2014 à 9:23
Citation Envoyé par miky55  Voir le message
Effectivement les néophytes ne se méfient que des .exe alors que pleins d'autres fichiers peuvent contenir du code exécutable: doc, xls, pdf, js, bat, com(vicieux le .com) ... Par contre il me semble que les macros ne s’exécutent plus automatiquement au lancement d'un document office depuis longtemps.

Et non
Cela dépend du paramétrage, dans beaucoup de boites on utilise des macros dans le métier, et donc sur l'ensemble du parc, la suite Office a les macros d'activés
Je parle en connaissance de cause, on a déjà eu des blagues d'excel ou powerpoint qui nous changeait le fond d'écran (copie d'un fichier sur son pc + paramétrage du fond d'écran pour utiliser celle-ci)

De plus, dans le cas contraire, on peut recevoir des powerpoints/excel de jeux (QCM) ou pour les paris sportifs (comme lors de la précédente coupe du monde) qui demande l'activation des macros (pour faire le calcul) et qui font autre chose de malicieux en background
Avatar de imikado imikado - Rédacteur http://www.developpez.com
le 11/09/2014 à 9:26
Citation Envoyé par miky55  Voir le message
Tout le monde n'est pas professionnel de l'informatique... Et même certains pourraient se laisser attraper par un document.doc.exe sont l'icone a été remplacée, surtout si par défaut les extensions ne sont pas affichées...

En effet le masquage de l'extension réel des fichiers est une aubaine pour les pirates
Avatar de Matthieu Vergne Matthieu Vergne - Expert confirmé http://www.developpez.com
le 22/09/2014 à 15:05
Ce serait bien que l'auteur utilise un vocabulaire adapté (cracker) plutôt que de faire dans le jargon populaire (hacker). C'est comme ça que les gens finissent par faire des amalgames. Surtout qu'aucun de ces termes n'est utilisé dans l'article source, donc c'est entièrement à la charge de l'auteur FR de choisir un vocabulaire adapté à la situation.
Offres d'emploi IT
Thémeur drupal H/F
alter way - Ile de France - Saint-Cloud (92210)
Développeur java/j2ee confirmé (H/F)
Décision RH - Bretagne - Vannes (56000)
Ingénieurs h/f
Sogeti - Bretagne - Rennes (35000)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil