Developpez.com

Le Club des Développeurs et IT Pro

Une campagne de publicités vérolées ciblant les utilisateurs Windows et OS X

Sévit sur Yahoo, YouTube, Amazon et d'autres sites

Le 2014-09-10 16:29:52, par Stéphane le calme, Chroniqueur Actualités
Selon des chercheurs de Cisco, une nouvelle campagne de diffusion de malware via des publicités vérolées a été découverte et affecte au total 74 domaines, parmi lesquels amazon.com, ads.yahoo.com, youtube.com, javaupdating.com ou encore winrar.com.

Talos Security Research a découvert une campagne à grande échelle de malvertising (ou malware advertising), une méthode permettant à un hacker de s’appuyer sur la publicité pour télécharger son malware. A cause du nom de centaines de sous-domaines appartenant à ce réseau, plus précisément « stan.mxp2099.com » et « kyle.mxp2038.com », les chercheurs de Cisco ont décidé de baptiser cette campagne « Kyle and Stan ».

Concrètement, même si l’attaque avait plusieurs variantes, voici les étapes autour desquelles chacune d’elles gravitait :

  1. l’utilisateur visite une page avec une publicité vérolée ;
  2. il est ensuite redirigé vers un site différent qui effectuera une redirection en fonction du paramètre user agent : suivant que l’utilisateur se trouve sur Windows ou sur Mac, il sera redirigé vers le malware approprié pour affecter son système d’exploitation ;
  3. la page finale amorce le téléchargement du fichier vérolé.



Une fois les victimes redirigées vers l’URL finale, le site lance automatiquement le téléchargement d’une pièce unique de malware pour chaque utilisateur. Le fichier se présentera sous la forme d’un logiciel légitime, comme un lecteur média, et embarquera le malware ainsi qu’une configuration unique pour chaque utilisateur. « Les attaquants se basent totalement sur des techniques de social engineering afin d’amener l’utilisateur à installer le package logiciel », expliquent les chercheurs.

La taille du réseau « Kyle and Stan » est difficile à estimer. Cependant, les chercheurs ont pu trouver jusqu’à présent plus de 700 domaines affiliés à ce réseau, même s’ils estiment qu’ils ne doivent probablement être que la partie émergée de l’iceberg. « Le processus pourrait être automatisé, ce qui facilite la création d’un grand nombre de domaines », ont avancé les chercheurs.

« Le nombre important de domaines permet à des hackers d’utiliser un domaine particulier sur un temps très limité, de le détruire et d'en utiliser un autre en vue des prochaines attaques », a expliqué Armin Pelkmann, co-auteur de la recherche. Chaque malware déployé dispose d'une empreinte unique « ce qui permet de contourner les solutions de sécurité qui se basent sur la réputation et les listes noires », a-t-il expliqué.

Cisco n’a pas identifié le réseau d’annonces qui sert de relai à la transmission des publicités vérolées. Bien que les régies publicitaires essaient de filtrer les annonces qui sont diffusées, il arrive occasionnellement que des annonces vérolées passent entre les mailles, ce qui est équivalent à un grand nombre de victimes potentielles pour un site avec un fort trafic.

« Kyle and Stan » est en activité depuis le 05 mai et les activités les plus importantes ont été enregistrées entre la mi-juin et début juillet, mais les attaques continuent d’être perpétrées. Une liste complète des domaines référents au réseau « Kyle and Stan » est disponible sur le blog de Cisco.

Source : blog Cisco

Et vous ?

Qu'en pensez-vous ?
  Discussion forum
8 commentaires
  • Zefling
    Expert confirmé
    kipkip, merci d'arrêter de croire que tout le monde est toi. Une bonne partie de malware fonctionnent sur la crédulité de l'utilisateur et s'ils continuent c'est que ça fonctionne. Hélas....
    le 10/09/2014 à 20:05
  • Matthieu Vergne
    Expert éminent
    Ce serait bien que l'auteur utilise un vocabulaire adapté (cracker) plutôt que de faire dans le jargon populaire (hacker). C'est comme ça que les gens finissent par faire des amalgames. Surtout qu'aucun de ces termes n'est utilisé dans l'article source, donc c'est entièrement à la charge de l'auteur FR de choisir un vocabulaire adapté à la situation.
    le 22/09/2014 à 15:05
  • kipkip
    Membre régulier
    Une fois les victimes redirigées vers l’URL finale, le site lance automatiquement le téléchargement d’une pièce unique de malware pour chaque utilisateur. Le fichier se présentera sous la forme d’un logiciel légitime, comme un lecteur média, et embarquera le malware ainsi qu’une configuration unique pour chaque utilisateur. « Les attaquants se basent totalement sur des techniques de social engineering afin d’amener l’utilisateur à installer le package logiciel », expliquent les chercheurs.
    Le téléchargement du logiciel se fait tout seul mais son exécution est lancée par l'utilisateur.

    J'ai un peu de mal à comprendre comment ils peuvent faire pour inciter le lancement du package, perso si je regarde mes mails et qu'on me demande d'installer un lecteur media je vais trouver ça louche...
    Je sous estime certainement le "social engineering".

    Je vais changer mon user agent et me mettre un truc exotique
    le 10/09/2014 à 17:03
  • imikado
    Rédacteur
    Le plus vicieux, ce sont les macros: vous faites télécharger à la victime un powerpoint (avec une macro malicieuse) avec un nom générique (perles du bac...)
    A un moment, l'utilisateur va faire le ménage dans son repertoire de téléchargements et cliquer innocemment sur ce powerpoint qu'il pense avoir recu d'un collègue/ami

    Les macros permettent énormément de choses, c'est très inquiétant d'ailleurs que l'on ne puisse pas, comme sur Android définir les droits qu'on lui accorde
    le 10/09/2014 à 21:36
  • miky55
    Membre averti
    Envoyé par imikado
    Le plus vicieux, ce sont les macros
    Effectivement les néophytes ne se méfient que des .exe alors que pleins d'autres fichiers peuvent contenir du code exécutable: doc, xls, pdf, js, bat, com(vicieux le .com) ... Par contre il me semble que les macros ne s’exécutent plus automatiquement au lancement d'un document office depuis longtemps.
    le 11/09/2014 à 8:51
  • miky55
    Membre averti
    Envoyé par kipkip

    Je sous estime certainement le "social engineering".
    Tout le monde n'est pas professionnel de l'informatique... Et même certains pourraient se laisser attraper par un document.doc.exe sont l'icone a été remplacée, surtout si par défaut les extensions ne sont pas affichées...
    le 11/09/2014 à 8:57
  • imikado
    Rédacteur
    Envoyé par miky55
    Effectivement les néophytes ne se méfient que des .exe alors que pleins d'autres fichiers peuvent contenir du code exécutable: doc, xls, pdf, js, bat, com(vicieux le .com) ... Par contre il me semble que les macros ne s’exécutent plus automatiquement au lancement d'un document office depuis longtemps.
    Et non
    Cela dépend du paramétrage, dans beaucoup de boites on utilise des macros dans le métier, et donc sur l'ensemble du parc, la suite Office a les macros d'activés
    Je parle en connaissance de cause, on a déjà eu des blagues d'excel ou powerpoint qui nous changeait le fond d'écran (copie d'un fichier sur son pc + paramétrage du fond d'écran pour utiliser celle-ci)

    De plus, dans le cas contraire, on peut recevoir des powerpoints/excel de jeux (QCM) ou pour les paris sportifs (comme lors de la précédente coupe du monde) qui demande l'activation des macros (pour faire le calcul) et qui font autre chose de malicieux en background
    le 11/09/2014 à 9:23
  • imikado
    Rédacteur
    Envoyé par miky55
    Tout le monde n'est pas professionnel de l'informatique... Et même certains pourraient se laisser attraper par un document.doc.exe sont l'icone a été remplacée, surtout si par défaut les extensions ne sont pas affichées...
    En effet le masquage de l'extension réel des fichiers est une aubaine pour les pirates
    le 11/09/2014 à 9:26
  Poster une réponse