Qu’est-ce qu’un téléchargement drive-by et comment peut-il infecter votre ordinateur ?
Vous pensez peut-être que vous maîtrisez la sécurité en ne cliquant jamais sur des liens non fiables et en refusant d’exécuter des téléchargements suspects, mais vous pouvez toujours être vulnérable aux attaques de téléchargement par lecteur. Ces menaces en ligne peut infecter votre ordinateur ou appareil sans même un seul clic .
Les téléchargements drive-by peuvent se charger sur les ordinateurs à l’insu de l’utilisateur. Ils constituent souvent la première étape d’attaques en plusieurs étapes, capables d’introduire subtilement d’autres logiciels malveillants plus vicieux sur l’ordinateur d’une victime. En fin de compte, ces attaques peuvent causer des ravages de diverses manières, de l'espionnage au vol de propriété intellectuelle, en passant par l'extorsion via des ransomwares.
Qu’est-ce qu’un téléchargement drive-by ?
Les téléchargements intempestifs sont des téléchargements involontaires et généralement malveillants. Ils se répartissent en deux grandes catégories :
À l’insu de l’utilisateur et
Dans ces cas, l'utilisateur ne se rend pas compte que quelque chose a été téléchargé . Ces téléchargements non consensuels profitent généralement des vulnérabilités du système d’exploitation, des applications, du navigateur, des plugins comme Flash ou de la complexité de JavaScript d’un utilisateur.
Parfois, les attaquants peuvent tirer parti des exploits du jour zéro. Cependant, la plupart de ces attaques sont rendues possibles parce que les utilisateurs ont tendance à utiliser des navigateurs et des plugins obsolètes qui n’ont pas été corrigés fini avec les dernières mises à jour de sécurité.
C’est le type d’attaque auquel la plupart des gens pensent lorsqu’ils entendent le terme « drive-by download », car les victimes peuvent être infectées sans même s’arrêter pour cliquer. C'est comme s'ils étaient touchés même s'ils sont justeconduire parla page Web.
Sans la pleine compréhension de l’utilisateur
Téléchargements drive-by également se frayer un chemin vers les ordinateurs et les appareils en trompant les utilisateurs . Une technique consiste à déguiser un fichier en quelque chose qu’il n’est pas. Un utilisateur peut accidentellement installer un logiciel malveillant ou un faux programme en supposant qu'il télécharge un logiciel légitime.
Un bon exemple de cela est lorsque des attaquants configurent des notifications qui semblent provenir de programmes antivirus légitimes. Ceux-ci font peur aux utilisateurs en leur faisant croire qu'ils ont un virus, les incitant à prendre des mesures pour le supprimer.
Le véritable danger survient lorsque les utilisateurs suivent les instructions. La notification du virus n'est qu'une tactique sournoise, et le remède supposé finit par télécharger un malware sur l’ordinateur de la victime .
Même si les utilisateurs ont choisi activement d'installer le fichier, ils l'ont fait sans avoir conscience de ce qu'il contenait réellement. C’est ce qui place cette tactique dans la catégorie des téléchargements drive-by.
Une tactique similaire consiste à exploiter le manque de connaissances techniques d’un utilisateur pour l’inciter à télécharger quelque chose dont il n’a pas besoin. Même si l'utilisateur a choisi d'exécuter le téléchargement, il l'a fait sans son consentement éclairé, ce qui peut souvent entraîner des conséquences involontaires et nuisibles.
Un code malveillant peut également être secrètement regroupé dans un package que l’utilisateur souhaite télécharger. Dans ce scénario, l'utilisateur télécharge le programme légitime et celui-ci semble fonctionner correctement. À leur insu, un téléchargement drive-by a été inclus dans le package, et il pourrait tenter d'infecter son PC pendant que l'utilisateur vaque à ses occupations normalement .
Beaucoup ne considèrent pas du tout ce deuxième type comme un téléchargement en voiture. Ils ont raison, car l’attaque implique une action directe de l’utilisateur, même si l’action est entreprise sans en comprendre pleinement les conséquences.
Malgré ce désaccord, nous couvrirons les deux types dans cet article pour être approfondi. Cette approche garantira également que vous ne serez pas confus lorsque vous rencontrerez des références au deuxième type de téléchargement en voiture ailleurs.
Pourquoi les attaquants utilisent-ils les téléchargements drive-by ?
Dans les cas les plus dangereux, les cybercriminels utilisent les téléchargements instantanés pour charger les ordinateurs ou appareils cibles avec d'autres formes de logiciels malveillants. Les téléchargements drive-by sont efficaces car ils peuvent se glisser sur les ordinateurs sans que l'on s'en aperçoive, donnant ainsi aux adversaires un point d'appui pour de nouvelles attaques. .
Une fois que le téléchargement drive-by a atteint la cible, il contacte souvent un serveur pour télécharger d’autres logiciels malveillants. Les objectifs ultimes de l'attaquant peuvent inclure :
- Espionnage et collecte de données pour de nouvelles attaques
- Acquérir des données pouvant être vendues sur les marchés du darknet
- Pénétrer plus profondément dans les systèmes, les réseaux ou les comptes
- Différents types de fraude financière et d’usurpation d’identité
- Recrutement de l'appareil dans le cadre d'un botnet
- Rançongiciel
- Logiciel publicitaire
Comme vous pouvez le constater, les téléchargements en voiture sont le point de départ d’un large éventail d’attaques qui peuvent être utilisées pour dévaster les victimes. Mais comment finissent-ils par infecter les victimes ?
Comment les téléchargements drive-by aboutissent-ils sur votre ordinateur ?
Vous pouvez rencontrer des téléchargements au volant dans votre boîte de réception ou en naviguant en ligne . Les attaques par courrier électronique incitent généralement les utilisateurs à télécharger des pièces jointes malveillantes ou à inclure des liens qui les renvoient vers des sites Web douteux sur lesquels l'attaque est lancée.
Lorsque vous visitez des sites Web, vous pouvez être victime de téléchargements intempestifs via le site Web lui-même ou les publicités qu'il diffuse. Même des sites Web prestigieux comme le New York Times et la BBC sont connus pour héberger des publicités qui infectent les visiteurs avec des téléchargements en voiture (ceci est discuté plus en détail dans le Campagne 2016 section ci-dessous).
Les pirates peuvent payer pour héberger des publicités malveillantes sur des sites Web, ou bien ils peuvent compromettre les réseaux publicitaires , comme moyen de cibler les victimes. Les deux approches sont qualifiées de publicité malveillante car elles abusent des systèmes publicitaires pour propager des logiciels malveillants. . Il est possible de diffuser des publicités malveillantes sur n’importe quel site, mais cela est beaucoup plus courant sur les parties les plus obscures du Web, telles que les plateformes illégales de partage de fichiers et de streaming, les sites de jeux en ligne et les pages pornographiques.
Alternativement, le contenu malveillant peut être diffusé directement à partir du site Web lui-même. Cette stratégie tire généralement parti des failles de sécurité trouvées dans les logiciels obsolètes. Les coupables courants incluent :
- Navigateurs obsolètes, tels que les anciennes versions d'Internet Explorer, Opera, Firefox ou Chrome.
- Plugins non corrigés comme Adobe Flash ou Microsoft Silverlight.
- Anciennes versions de Windows ou d'autres systèmes d'exploitation.
Les attaquants profitent souvent de ces logiciels obsolètes en cachant le code malveillant dans des iFrames avec JavaScript, puis en utilisant une série de redirections pour charger des logiciels malveillants sur des cibles appropriées. Ils peuvent également utiliser JavaScript pour tirer parti des vulnérabilités de cross-site scripting (XSS). Des vulnérabilités plus graves peuvent même leur permettre de cacher leur kit d'exploit directement sur la page.
Les pirates peuvent compromettre des sites Web légitimes et insérer du code pour infecter leurs victimes, ou même créer des sites Web spécifiquement pour leurs campagnes. Dans le deuxième cas, les attaquants adaptent généralement leurs sites pour cibler un certain public, dans le cadre de ce que l'on appelle une attaque de point d'eau.
Que se passe-t-il lorsqu'un utilisateur rencontre un téléchargement malveillant ?
Avant d’aborder les téléchargements intempestifs, voyons d’abord comment les attaques y conduisent généralement. Un scénario courant implique qu'un utilisateur tombe sur une page de destination malveillante, que ce soit en cliquant directement dessus ou en étant redirigé via une publicité malveillante . À partir de ce point, il existe un large éventail de variables quant à la manière dont l’attaque peut progresser. Cela dépend à la fois des objectifs de l’attaquant et de sa sophistication.
Ingénierie sociale
À l’extrémité la plus simple de l’échelle, les attaquants peuvent utiliser ingénierie sociale pour essayer d'inciter les utilisateurs à télécharger activement un prétendu programme antivirus ou une mise à jour du système. Sous ce type d'attaque, les victimes sont souvent trompées et téléchargent directement un cheval de Troie ou un autre malware .
Dans ces situations, le lancement de l'attaque peut être considéré comme un téléchargement intempestif, sur la base de notre deuxième définition d'un utilisateur installant un logiciel sans sa pleine compréhension .
Ce téléchargement peut donner à l'attaquant un accès dérobé, lui permettre de voler des données sensibles ou lui donner un moyen de charger d'autres logiciels dévastateurs, tels qu'un ransomware.
Kits d'exploitation
Alternativement, la victime peut se retrouver sur une page de destination d'un kit d'exploit . Un kit d'exploitation est essentiellement une collection pré-emballée d'exploits et d'outils qui peuvent tenter une gamme d'attaques différentes pour tenter d'infecter des cibles. Les attaquants n’ont pas nécessairement besoin d’une grande expertise technique pour les utiliser et ils peuvent être achetés sur le dark web.
Depuis 2019, le plus kits d'exploitation courants incluent Spelevo, Fallout, Magnitude, RIG et GrandSoft. Pour la plupart, ils profitent des vulnérabilités des anciennes versions d'Internet Explorer et de Flash.
Les kits d'exploits rudimentaires parcourront chaque exploit de leur package , dans l'espoir que l'un d'eux puisse pénétrer la victime. Cette approche n’est pas sophistiquée et peut être détectée relativement facilement. Cependant, il peut toujours réussir contre ceux qui utilisent des logiciels obsolètes. Dans ces cas, les failles de sécurité permettent de lancer l'attaque via notre premier type de drive-by download, des attaques dont les utilisateurs ignorent l'existence.
Des kits d'exploitation plus avancés permettront commencer par prendre les empreintes digitales des cibles potentielles pour déterminer leur adéquation . Ce processus implique d’analyser la configuration de l’utilisateur, le système d’exploitation qu’il utilise, son navigateur, les plugins et les versions qu’il a installées.
La prise d’empreintes digitales peut également examiner l’adresse IP de l’utilisateur, permettant ainsi aux attaquants de cibler ou d’exclure spécifiquement les victimes potentielles en fonction de leur région géographique.
Le processus de prise d'empreintes digitales permet aux attaquants de filtrer les cibles appropriées. Des campagnes sophistiquées séparent les victimes appropriées en fonction du mode d'attaque que leur configuration les rend vulnérables. .
L’empreinte digitale peut également tenter de détecter les outils réseau et les machines virtuelles : si ceux-ci sont repérés, le kit ne lancera pas d’attaque contre la cible. Cela aide les pirates à échapper aux chercheurs en sécurité et à leurs pièges.
Si les cibles ne sont pas jugées adaptées à une attaque, elles peuvent être ignorées et épargnées des répercussions potentielles. Alternativement, si un utilisateur dispose des dernières mises à jour de sécurité qui corrigent les vulnérabilités souhaitées, ils peuvent être redirigés vers une autre page de destination qui utilise des tentatives d'ingénierie sociale (comme levous avez un virus, téléchargez cet outil pour vous protégerarnaque) pour essayer de les convaincre de télécharger activement des logiciels malveillants. Cette technique a été récemment vue dans une campagne utilisant le Kit d'exploitation Fallout .
Les attaquants peuvent le faire s’ils ne veulent pas laisser passer une victime potentielle. Ceux qui disposent des dernières mises à jour de sécurité ne sont généralement pas vulnérables à la plupart des exploits de ces kits (à l’exception des attaques très sophistiquées qui utilisent des exploits du jour zéro. Ce sont des exploits qui n’ont pas encore été découverts et corrigés par la communauté de la sécurité). Au lieu de laisser filer une victime potentielle, les attaquants peuvent tout aussi bien tenter une dernière technique, même si les chances de succès sont relativement faibles.
Lorsque le processus de prise d’empreintes digitales rencontre des candidats vulnérables aux divers exploits contenus dans les kits, ils sont ensuite redirigés – souvent à plusieurs reprises – vers une page de destination contenant du code malveillant pouvant tirer parti de la vulnérabilité de sécurité appropriée . C'est là que se produit le téléchargement drive-by, souvent via JavaScript.
Le code et les exploits de la page de destination sont généralement masqués pour augmenter leurs chances de succès. L’exploit peut même être crypté et nécessiter de contacter le serveur principal de l’attaquant pour obtenir une clé qui déchiffre le code, afin que l’attaque progresse.
À partir de ce point, les attaques peuvent évoluer de plusieurs manières. Ces campagnes impliquaient généralement une série de techniques complexes et soigneusement conçues visant à faire progresser l’attaque sans être détectée.
En gros, les kits d’exploitation exploitent généralement une vulnérabilité, puis effectuent un certain nombre d’étapes permettant de télécharger secrètement une charge utile. Cela pourrait être ransomware, spyware, logiciel de crypto mining ou malware qui recrute l'ordinateur dans un botnet . Tout dépend des objectifs du hacker.
En fin de compte, si l’attaque réussit, la victime se retrouve avec des problèmes importants, même si elle ne réalise pas au départ qu’elle a été piratée.
Exemples de téléchargement drive-by
Les téléchargements au volant peuvent être utilisés dans diverses circonstances, conduisant souvent à des conséquences dévastatrices pour les victimes. Vous trouverez ci-dessous une collection de campagnes récentes qui impliquaient des téléchargements drive-by à certaines étapes de leurs stratégies d'attaque :
Se cacher
Le groupe cybercriminel Lurk était l'un des premiers utilisateurs les plus importants des téléchargements drive-by . Parallèlement à d’autres techniques, le groupe s’est lancé dans une frénésie qui a finalement permis de lui rapporter 45 millions de dollars de fonds volés. Toutefois, les activités du groupe ont été stoppées en 2015 lorsque cinquante de ses membres ont été arrêtés par les autorités russes.
L’un des vecteurs d’attaque courants de Lurk impliqué injecter du contenu iFrame malveillant sur des sites Web russes populaires. Cela a permis au groupe d'exploiter les vulnérabilités du navigateur Web via des téléchargements en voiture. Les visiteurs du site seraient redirigés vers des sites Web malveillants et leurs empreintes digitales seraient prises pour déterminer s'ils constituaient des cibles appropriées. Ce processus de vérification était éphémère et exécuté en mémoire, contribuant ainsi à masquer les traces de l’attaque.
Le groupe serait alors charger des logiciels malveillants sur des cibles appropriées . Il s’agissait principalement d’applications bancaires russes, grâce auxquelles ils pouvaient facilement voler des fonds. Le gang Lurk a été incroyablement prudent en couvrant ses traces, en attaquant uniquement des cibles spécifiques et en utilisant des techniques d'évasion pour éviter la détection basée sur le bac à sable.
Après une campagne qui a duré plusieurs années, un certain nombre de petites erreurs ont fini par rattraper Lurk. Collectivement, ces éléments ont permis aux chercheurs en sécurité et aux autorités russes de déterminer qui était responsable, ce qui a conduit aux arrestations.
Campagne 2016
En 2016, l'une des plus grandes campagnes de téléchargement drive-by de ces derniers temps a touché un certain nombre de personnes. éditeurs de renom . Parmi les sites Web concernés figuraient MSN, le New York Times, la BBC, Xfinity de Comcast et la NFL. Ces sites Web comptent chacun entre des millions et des milliards de visiteurs mensuels, nous ne parlons donc pas ici de petits acteurs.
Chacun de ces sites utilisait des réseaux publicitaires apparemment légitimes qui ont été compromis par l’attaquant. L'importance de ces sites et d'autres a permis au pirate informatique de diffuser des publicités malveillantes auprès d'un grand nombre de visiteurs innocents du site. Ces publicités les ont ensuite redirigés via deux serveurs de publicité malveillante . Le deuxième serveur a chargé le kit d'exploitation Angler sur les victimes.
Le kit d'exploitation Angler était considéré à son époque comme un ensemble d'outils très avancés, ayant initialement été développé par le groupe Lurk mentionné ci-dessus pour leur propre usage, puis finalement loué à d'autres cybercriminels. Cependant, depuis les arrestations massives contre le groupe, le kit d'exploit Angler est devenu obsolète.
Le kit d'exploit Angler pourrait exploiter les vulnérabilités de Microsoft Silverlight, JavaScript, Adobe Flash et d'autres logiciels courants . Il pourrait alors être utilisé pour charger une large gamme de logiciels malveillants sur l’ordinateur de la victime, selon les besoins du pirate informatique.
Lors de la campagne de 2016 contre les éditeurs de premier plan, le kit d'exploitation Angler a été principalement utilisé pour infecter les ordinateurs ciblés avec le cheval de Troie Bedep et le ransomware TeslaCrypt. Bedep ouvre une porte dérobée qui peut être utilisée pour télécharger d'autres logiciels malveillants, tandis que TeslaCrypt verrouille les fichiers d'un utilisateur jusqu'à ce qu'il paie une rançon. Même si la victime paie, il n’est pas rare que l’attaquant ne lui envoie jamais la clé qui déverrouille ses fichiers.
Même si les plus grands éditeurs ont été relativement prompts à supprimer les publicités malveillantes, il est possible que la campagne ait fini par infecter des dizaines de milliers d'utilisateurs .
Patchwork
Le patchwork est un groupe de cyberespionnage qui se concentre principalement sur des cibles asiatiques , bien qu’il ait également été impliqué dans les deux États-Unis et Australie . Le groupe est également appeléLaisser tomber un éléphantetstrates chinoises, et le meilleures suppositions supposons qu’il s’agit soit d’un groupe indien, soit que ses intérêts correspondent à ceux de l’Inde.
Elle a initialement concentré ses efforts sur agences gouvernementales et diplomatiques , mais a modifié ses cibles pour inclure également les entreprises. Bien que Patchwork ne soit pas nécessairement connu pour ses attaques les plus avancées, il tourne à travers une large liste de techniques existantes pour espionner ses victimes . Selon Trend Micro, la tactique du groupe indique qu’il cible « les données critiques ou confidentielles », plutôt que de se concentrer sur des motivations purement financières.
Parmi ses nombreuses tactiques, Patchwork a mis en place une fausse version de Youku Tudou, qui est essentiellement la version chinoise de Youtube. Le site Web douteux inciterait les visiteurs à télécharger une prétendue mise à jour d'Adobe Flash, qui s'est avéré être un logiciel malveillant que les attaquants ont utilisé pour lancer d'autres attaques .
Cette technique entre dans notre deuxième catégorie de téléchargements intempestifs, ceux dans lesquels l'utilisateur est manipulé pour exécuter activement le téléchargement malveillant. Même s’ils ont peut-être fait le déclic, ils l’ont fait sans avoir pleinement connaissance de ce que c’était ni de ses éventuelles répercussions.
Vous serez Ransomware
En juillet 2019, un chercheur en sécurité qui prend par le manche Je ne sais pas a découvert que les téléchargements en voiture ont été utilisés dans le cadre d'une attaque qui a livré le logiciel Eris Ransomware aux victimes. L'attaquant a mis en place une campagne de publicité malveillante via le réseau publicitaire PopCash qui redirigeait les utilisateurs vers le Kit d'exploitation RIG , un morceau de code renommé qui peut prendre pied grâce à JavaScript, Flash ou VBScript.
Dans cette campagne particulière, le kit tente d'exploiter une vulnérabilité Shockwave du navigateur. S’il réussit, il télécharge et installe Eris Ransomware, qui crypte ensuite les fichiers de la victime et exige le paiement de la clé pour les déverrouiller.
Cette attaque peut finir par coûter des sommes importantes à un utilisateur pour déverrouiller ses fichiers. Il peut même restreindre l'accès de manière permanente si l'attaquant refuse d'envoyer la clé, la rendant inutilisable. Et cette attaque peut tout faire sans jamais nécessiter un seul clic de la part de la victime.
Voir également:Statistiques sur les ransomwares
Coucher du soleil GreenFlash
En juin 2019, chercheurs de MalwareBytes a commencé à remarquer une augmentation des attaques de téléchargement en voiture qui remontaient au groupe ShadowGate. ShadowGate est une équipe de hackers renommée connue pour cibler des cibles sud-coréennes.
Les attaques reposaient sur le kit d'exploitation GreenFlash Sundown et se propageaient via des serveurs publicitaires auto-hébergés. exécutant Revive Adserver. Le site compromis le plus notable était onlinevideoconverter.com, qui convertit les vidéos YouTube en fichiers téléchargeables.
Lorsqu’un utilisateur tombe sur le téléchargement en voiture, la technique de ShadowGate commence par prendre ses empreintes digitales au niveau du réseau. Cela permet au groupe de cibler uniquement les utilisateurs provenant d’adresses IP résidentielles, plutôt que ceux provenant de VPN et d’autres services.
L'attaque s'ensuit avec un Script PowerShell qui recherche des informations sur l'appareil de la cible potentielle , y compris son système d'exploitation, son disque dur, sa carte vidéo, tout logiciel antivirus et ses noms d'utilisateur.
Les victimes concernées sont ensuite redirigées vers un fausse image GIF qui contient du JavaScript obscurci. Il redirige vers une série de sites qui finissent par utiliser un Exploit Flash pour fournir une charge utile malveillante .
Il charge une triple menace du ransomware Seon, du botnet Pony et du logiciel de cryptomining sur l'ordinateur de la victime. . Cela verrouille les fichiers critiques de la victime, afin que ShadowGate puisse tenter de gagner de l’argent grâce au paiement de rançons. Le groupe peut également exploiter le nouveau robot dans le cadre de son essaim lors d’attaques futures, tout en tirant parti de la puissance de traitement de la cible pour exploiter la crypto-monnaie.
La bonne nouvelle est qu’il est relativement facile de se protéger contre la dernière campagne de ShadowGate. Son attaque cible les systèmes Windows qui exécutent d'anciennes versions de Flash. Tout ce que les utilisateurs doivent faire pour empêcher cette attaque est de s'assurer que Flash est à jour.
À titre de conseil général en matière de sécurité, ils doivent également mettre à jour leurs systèmes d’exploitation, navigateurs, plugins et autres applications. L’exécution des derniers correctifs de sécurité permet de prévenir la grande majorité des attaques moins sophistiquées.
Labyrinthe
En octobre, le Je ne sais pas L'équipe de recherche en sécurité a découvert que le kit d'exploitation Spelevo était utilisé dans une nouvelle campagne de téléchargement en voiture qui propageait le ransomware Maze. Maze est une variante du ransomware ChaCha, découverte pour la première fois par Jérôme Segura en mai.
Dans le campagne originale , Segura a découvert que les attaquants avaient créé un faux site Web pour Abra, l'application d'investissement en crypto-monnaie. Ils ont également acheté des publicités redirigées vers le site malveillant. Lorsque les utilisateurs cliquaient dessus, les informations de leur système d’exploitation, de leur navigateur et de leur plug-in étaient prises en compte.
Lorsque des cibles appropriées s'avéraient vulnérables, la campagne de mai les redirigeait vers le kit d'exploit Fallout, tandis que la campagne d'octobre les envoyait vers le kit d'exploitation Fallout. Kit d'exploit Spelevo . Le kit d'exploit Spelevo exploite une vulnérabilité dans les versions obsolètes du plugin Flash, utilise ensuite l'exécution de code arbitraire pour installer le ransomware Maze .
Une fois le ransomware exécuté, il analyse le système compromis à la recherche de fichiers potentiellement précieux, en les chiffrant avec le chiffrement de flux ChaCha20 et RSA. Maze crée ensuite une demande de rançon qui mène à un Site Web des TDR , où les victimes peuvent payer pour que leurs fichiers soient déverrouillés.
Le site TOR précise que la rançon double automatiquement au bout d'une semaine, et il existe également une interface de décryptage en ligne qui permet aux victimes de tester si le décryptage est possible sur plusieurs de leurs fichiers. On ne sait pas si les attaquants transmettent réellement les clés de décryptage une fois le paiement effectué.
Téléchargements drive-by et smartphones
Les ordinateurs ne sont pas les seuls à être vulnérables aux téléchargements inopinés. À mesure que le marché des utilisateurs est devenu mobile, les pirates informatiques aussi, et ils ont conçu des campagnes astucieuses pour tenter d'infecter également les appareils. .
De par leur conception, les configurations mobiles sont plus sécurisées que votre configuration Windows typique. Les plates-formes pour smartphones sont beaucoup plus restrictives, limitant ce que les utilisateurs peuvent faire, ainsi que la facilité avec laquelle ils peuvent se tromper.
Si les utilisateurs conservent leurs paramètres de sécurité par défaut et s’assurent que leur système d’exploitation et leurs applications sont toujours mis à jour avec la dernière version, ils devraient être relativement à l’abri des logiciels malveillants.
Ceux qui ont jailbreaké (iOS) ou rooté (Android) leur téléphone courent des risques beaucoup plus élevés. Bien que l'élévation des privilèges depuis les appareils jailbreakés ou rootés offre des fonctionnalités supplémentaires, cela permet également aux logiciels malveillants d'infecter plus facilement les appareils . En effet, les logiciels malveillants mobiles ont tendance à avoir besoin de ce niveau d'accès pour pouvoir agir.
Scénarios d'attaque mobile
Les utilisateurs vulnérables rencontrent des liens malveillants sur des pages Web, des messages texte ou des e-mails. Ils peuvent également rencontrer des publicités et des fenêtres contextuelles qui les incitent à lancer des téléchargements. L’un des exemples les plus courants concerne les publicités qui imitent le bouton d’appel entrant d’un téléphone.
Ce sont des campagnes particulièrement sournoises, car la plupart des gens ne réfléchissent pas beaucoup avant de répondre au téléphone. Ils remarquent un appel entrant et décrochent immédiatement leur téléphone, sans prendre le temps de l'examiner de plus près. Les attaquants le savent et profitent de la réaction automatique pour inciter leurs cibles à exécuter des logiciels malveillants. .
Dans ce scénario, un utilisateur pensera qu’il répond à un appel, mais il charge en réalité un téléchargement drive-by. L'attaque procède en tentant d'exploiter les vulnérabilités du navigateur mobile. En cas de succès, la campagne avance essentiellement en jailbreakant ou en rootant l'appareil.
En effet, l’écosystème mobile normal empêche les appareils de télécharger facilement des applications via des sites Web. Sauf si l'appareil est jailbreaké ou rooté, les applications doivent être téléchargées via l'App Store.
Une fois cela fait, les pirates peuvent intensifier l’attaque en installant d’autres logiciels malveillants sur l’appareil de la victime . Ils peuvent espionner l’utilisateur, en faire un esclave dans un botnet ou utiliser les ressources de l’appareil pour extraire de la cryptomonnaie.
Ks Propre
Un exemple de campagne de téléchargement drive-by ciblant les appareils mobiles est le kskas.apk malware . Il a été découvert qu'il se propageait via des publicités sur un forum appelé Productions divines . Lorsque des utilisateurs vulnérables rencontraient la publicité, celle-ci utilisait des exploits pour télécharger un package Android, kskas.apk .
Dans le menu des applications, le téléchargement malveillant apparaîtrait comme une application de nettoyage pour Android, appelée Ks Clean. Une fois installé, il afficherait une fausse mise à jour du système, un peu comme les virus ou les avertissements système que nous avons mentionnés plus tôt dans cet article.
L'utilisateur n'a qu'une seule option, D'ACCORD . Lorsqu'ils cliquent dessus, un autre APK appelé Mise à jour est installé. Il demande ensuite les droits d'administrateur et s'enregistre en tant que récepteur Android, ce qui empêche l'annulation des droits.
Ce processus accorde également à l'application une gamme d'autorisations, notamment la possibilité de télécharger des fichiers sans en avertir l'utilisateur et l'autorisation de les afficher par-dessus d'autres applications. Cela mène à des publicités intrusives s'affichent bien en évidence sur l'écran d'accueil et rendent l'appareil vulnérable à des attaques croissantes .
La menace croissante des téléchargements au volant
Les téléchargements intempestifs sont devenus une menace plus importante ces dernières années pour deux raisons principales. L'un est la montée en puissance des kits d’exploits préemballés qui permettent aux pirates de lancer des attaques sophistiquées , même s’ils n’ont pas beaucoup de compétences techniques propres.
Tout comme le reste du marché des logiciels, vous pouvez même obtenir kits d'exploitation en tant que service . Les pirates peuvent accéder à des campagnes criminelles toutes faites sans avoir à établir leur propre infrastructure ou à écrire leur propre code.
En plus de la simplicité d'utilisation de ces services de piratage, l'environnement de navigation moderne est également devenu incroyablement complexe . Les navigateurs ont beaucoup de choses à faire, surtout si l’on considère la gamme de modules complémentaires, tels que les extensions et les plugins qui augmentent la surface d’attaque.
Chacun de ces éléments doit être régulièrement mis à jour, tout comme le navigateur et les autres logiciels. Avec autant de mises à jour à effectuer, il est facile pour certains de passer à côté. Lorsque cela se produit, les attaquants peuvent exploiter les failles et adapter leurs attaques en exploitant ces vulnérabilités logicielles.
Empêcher les téléchargements inopinés
Même si les téléchargements en voiture peuvent sembler terrifiants, la bonne nouvelle est que vous pouvez réduire considérablement les risques auxquels vous êtes confronté en quelques étapes simples.
Gardez tout à jour
Dans la plupart des cas où les téléchargements inopinés infectent les cibles sans aucune action de l'utilisateur, ils y parviennent en exploiter les failles de sécurité des anciennes versions de logiciels comme Internet Explorer et Flash . Ces menaces sont faciles à atténuer, mais peu de personnes prennent les mesures nécessaires.
L’une des plus grandes batailles de la communauté de la sécurité consiste à convaincre les gens de mettre à jour leurs systèmes d’exploitation, navigateurs, modules complémentaires, applications et tout autre logiciel dès que les correctifs sont disponibles.
Beaucoup de gens ne réalisent pas que les mises à jour ne sont pas simplement un ensemble de modifications ennuyeuses et l’ajout de nouvelles fonctionnalités dont ils n’ont probablement pas besoin. Les mises à jour servent également à combler les failles de sécurité récemment découvertes. .
Lorsque des vulnérabilités permettant aux pirates informatiques de contourner les mesures de sécurité normales sont découvertes pour la première fois, elles sont appelées exploits zero-day. . Si des pirates informatiques ou d’autres parties bien intentionnées sont les premiers à découvrir un exploit zero-day, ils peuvent en informer secrètement les développeurs. Les développeurs peuvent alors publier une mise à jour qui corrige la faille, empêchant ainsi les criminels de l'exploiter.
Si les mauvais acteurs sont les premiers à découvrir un exploit zero-day, ils choisissent généralement d’en profiter plutôt que de le signaler par les canaux appropriés. Cela leur donne une opportunité d’exploiter cette vulnérabilité et de commettre des crimes.
Alors que les exploits du jour zéro constituent certainement une menace, mais ils constituent une préoccupation relativement mineure pour le grand public par rapport aux attaques exploitant des vulnérabilités connues pour lesquelles des correctifs sont déjà disponibles. Pour illustrer à quel point ce problème est omniprésent, un Enquête Avast 2019 sur 163 millions d'ordinateurs ont découvert que 55 % des programmes sont obsolètes .
Cela signifie que les utilisateurs exécutez fréquemment d’anciennes versions de logiciels présentant des vulnérabilités connues , même lorsque des solutions sont facilement disponibles. Dans les cas où les vulnérabilités sont connues du public, les pirates informatiques en sont également informés.
Ils savent également à quel point il est courant que les utilisateurs négligent leurs mises à jour de sécurité, c'est pourquoi ils travaillent avec acharnement pour ajouter des exploits qui tirent parti des dernières vulnérabilités à leurs campagnes d'attaque.
Cela leur donne un énorme bassin d’utilisateurs vulnérables faciles à pirater. Les utilisateurs qui n’installent pas les derniers correctifs de sécurité laissent essentiellement leurs portes ouvertes, invitant les pirates informatiques à commettre toute une série de crimes différents.
Pour lutter contre cette énorme menace, les utilisateurs doivent installer les mises à jour dès que possible . Ils peuvent le faire manuellement, mais il est facile de les oublier ou de les ignorer, ce qui donne aux attaquants la possibilité de frapper. La meilleure solution consiste à configurer le logiciel pour qu'il se mette à jour automatiquement dans la mesure du possible.
Limitez votre surface d'attaque
Plus vous disposez de programmes et de modules complémentaires, plus vous devez les gérer, ce qui augmente les risques de problèmes. Si vous ne disposez que de trois plugins, il est relativement facile de les maintenir à jour. Même si vous êtes à la traîne et laissez passer un tiers d’entre eux, cela signifie qu’il n’existe qu’un seul plugin obsolète dont les pirates peuvent potentiellement profiter.
Si vous avez trente plugins installés et laissez le même pourcentage s'écouler, cela donne aux pirates informatiques 10 opportunités différentes avec lesquelles travailler. La meilleure approche est de installez uniquement les modules complémentaires et autres logiciels dont vous avez vraiment besoin et de les examiner minutieusement au préalable. Vous devez périodiquement passer en revue et vous débarrasser de ceux que vous n'utilisez plus. parce qu'ils ajoutent simplement des risques inutiles .
Évitez les sites Web louches
Bien que les téléchargements en voiture soient parfois trouvés sur des sites Web réputés, ils sont beaucoup plus courants dans les profondeurs d'Internet. Cela est particulièrement vrai pour sites hébergeant du contenu illégal , mais cela arrive aussi des sites Web plus petits qui n’ont pas les connaissances ou les ressources pour résoudre activement leurs problèmes de sécurité.
Si vous souhaitez limiter la possibilité de vous exposer à des téléchargements intempestifs, vous devez agissez avec prudence lorsque vous naviguez en ligne . Il est préférable de s’en tenir aux sites majeurs qui sont plus proactifs en matière de sécurité et de s’éloigner de tout site Web douteux qui pourrait vous nuire. Si vous avez des doutes sur un lien en particulier, il est probablement préférable d’essayer de trouver ce que vous cherchez sur un site en qui vous avez confiance.
Au niveau organisationnel, il peut être préférable d'utiliser logiciel de blocage de sites pour empêcher les employés de visiter les parties les plus dangereuses du Web. Assurez-vous simplement que les restrictions ne sont pas trop sévères, au point de bloquer des sites importants, gênant ainsi les tâches professionnelles quotidiennes.
Soyez sceptique à l'égard des popups et des publicités
Vous devez être conscient qu'Internet regorge de dangers et de dangers potentiels, avec des pirates informatiques qui sillonnent constamment et trouvent de nouvelles façons de commettre des crimes contre vous. Dans cette optique, il est important de reconnaître que de nombreuses fenêtres contextuelles ou publicités apparemment légitimes pourraient être des tentatives sophistiquées visant à infecter votre ordinateur avec des logiciels malveillants .
Si jamais vous voyez une notification vous indiquant que vous avez un virus ou que vous devez apporter des modifications au système, la première étape consiste à assurez-vous qu'il ne vient pas de votre navigateur Web . Si tel est le cas, il s’agit probablement d’une tentative visant à vous inciter à effectuer un téléchargement en voiture.
Vous pouvez confirmer si c’est le cas en vérifiant s’il disparaît lorsqu’aucune fenêtre de navigateur n’est ouverte. Si tel est le cas, il ne s’agit certainement pas d’une notification de virus légitime.
Vous pouvez voir des avertissements similaires en dehors de votre navigateur, mais il ne s’agit pas de tentatives de téléchargement en voiture. Il est probable que vous ayez fini avec scareware installé sur votre PC , et il utilise des techniques d'ingénierie sociale similaires pour essayer de vous inciter à télécharger davantage de logiciels malveillants.
Pour savoir s’il s’agit d’une notification légitime, vérifiez si elle provient de la solution antivirus que vous utilisez habituellement sur l’ordinateur. S’il porte une autre marque ou un autre nom, il s’agit probablement simplement d’une arnaque.
Vous devez également être à l’affût des logiciels malveillants qui usurpent l’identité de la marque antivirus que vous utilisez habituellement. Vous pouvez généralement distinguer les imposteurs car l'interface peut être légèrement différente , plus grossier, ou il peut contenir des fautes d'orthographe.
Les popups et les publicités peuvent facilement nous manipuler avec un certain nombre de techniques similaires, qu'il s'agisse de supposées mises à jour du système, de faux avertissements pour agir ou d'autres stratagèmes astucieux. Dans chaque cas, le pirate informatique essaie simplement de vous effrayer et d’installer davantage de logiciels malveillants.
Méfiez-vous des liens de courrier électronique et des pièces jointes
Le courrier électronique constitue une autre menace, car les liens sur lesquels vous cliquez peuvent conduire à des pages de destination hébergeant des logiciels malveillants, tandis que les pièces jointes que vous ouvrez peuvent également être malveillantes. Vous pouvez limiter votre risque en traitant toujours votre boîte de réception avec un peu de paranoïa .
Ne cliquez jamais sur des liens ou des pièces jointes provenant de personnes que vous ne connaissez pas et méfiez-vous des e-mails étranges provenant de personnes que vous connaissez. Leur compte de messagerie a peut-être été compromis et utilisé pour spammer d'autres personnes.
Le filtrage des e-mails est une autre bonne solution, car il peut empêcher de nombreux e-mails malveillants de se retrouver dans votre boîte de réception. Vous ne pouvez pas vous laisser tromper par un e-mail que vous ne voyez jamais.
Bloqueurs de publicités
Une autre mesure de protection consiste à exécuter un bloqueur de publicité tel que uBlock Origin, ou l'un des autres décrits dans Guide des bloqueurs de publicités de Comparitech . Cela peut être une stratégie efficace car la publicité malveillante est l'un des principaux moyens utilisés par les attaquants dans leurs campagnes de téléchargement drive-by . Si les publicités sont bloquées, vous ne pouvez pas être infecté par des publicités malveillantes.
Cela peut être une stratégie efficace, mais elle soulève également certaines questions éthiques. De nombreux sites Web proposent du contenu gratuitement, et la seule façon de survivre est de diffuser des publicités aux utilisateurs. En évitant les publicités avec un bloqueur de publicités, vous accédez au contenu et épuisez les ressources du site, mais vous leur refusez le petit montant de revenus provenant des publicités.
Certains diront peut-être que les sites Web qui affichent des publicités intrusives ou dangereuses ne méritent pas de revenus et bloquent uniquement les publicités des contrevenants les plus flagrants. Cependant, si tout le monde commençait à utiliser des bloqueurs de publicités, nous ne pourrions plus accéder gratuitement à autant de contenu.
Si vous souhaitez minimiser les publicités diffusées sur votre navigateur tout en souhaitant soutenir les créateurs et les éditeurs, envisagez obtenir la majeure partie de votre contenu à partir de sites proposant des services d'abonnement payants sans publicité .
Blocage des scripts
Les gens peuvent également se protéger en utilisant un bloqueur de script tel que NoScript. Lorsque vous naviguez sans extension comme NoScript, JavaScript et Flash peuvent s'exécuter automatiquement . Bien que ces scripts rendent l’expérience en ligne plus fluide et plus fonctionnelle, ils sont également à l’origine de nombreux téléchargements au volant.
Lorsque vous utilisez NoScript, il les désactive par défaut, supprimant ces menaces . L’inconvénient est que cela réduit également les fonctionnalités de nombreux sites Web, voire les rend complètement inutilisables. Pour les sites qui fonctionnent encore, vous pouvez les utiliser tels quels ou activer les scripts de votre choix pour améliorer l'expérience de navigation.
Si NoScript interrompt complètement un site, vos seules options sont d'autoriser sélectivement certains scripts afin qu'ils s'exécutent, ou de rechercher ce que vous recherchez sur un autre site. Bien que NoScript demande un peu de configuration et du temps pour s'y habituer, cela remet le contrôle entre vos mains .
Vous décidez à quels sites Web vous faites confiance et êtes prêt à autoriser l’exécution de JavaScript, Flash et d’autres scripts. Beaucoup de gens ne souhaitent peut-être pas faire cet effort supplémentaire, et cela peut être un peu déroutant au début, mais le blocage des scripts reste une considération importante si vous souhaitez réduire les menaces en ligne auxquelles vous êtes confronté.
N'oubliez pas vos autres appareils
Les téléchargements intempestifs ne constituent pas une menace uniquement pour votre PC. Ils peuvent également affecter votre smartphone et d’autres appareils. Bien que plusieurs facteurs rendent ces appareils plus sécurisés, vous devez néanmoins prendre certaines précautions.
Tu devrais ne jamais jailbreaker ni rooter votre appareil, sauf si vous êtes un utilisateur expérimenté et sont pleinement conscients des dangers et des défis supplémentaires que ces actes peuvent engendrer en matière de sécurité. Conformément à cela, vous ne devez télécharger que des applications fiables depuis le Play Store ou l’App Store.
Les applications et autres logiciels doivent également être tenus à jour pour vous assurer que vos appareils disposent des derniers correctifs, les protégeant ainsi des menaces de sécurité récemment découvertes. Les utilisateurs doivent également être à l’affût de tactiques sournoises, telles que des pop-ups qui ressemblent à des boutons d’appel ou des liens malveillants dans les e-mails et les SMS.
Que devez-vous faire si votre site Web distribue des logiciels malveillants via un téléchargement drive-by ?
Si vous constatez que votre site Web distribue des téléchargements au volant, vous devez agir immédiatement. D'une part, le la campagne pourrait causer de graves dommages à la réputation à votre marque. D'un autre côté, cela pourrait indiquer que votre le site a été compromis – non seulement il propage des logiciels malveillants à d’autres, mais les voleurs pourraient fouiller plus profondément dans le site Web, voler des données ou lancer d’autres attaques.
Votre site Web pourrait contribuer à diffuser les téléchargements drive-by de deux manières principales. La première se fait via les publicités qu’il affiche, l’autre via le site lui-même. Si c'est via des publicités, la première chose à faire est découvrez quelles publicités diffusent le malware .
Il peut s'agir de publicités individuelles pour lesquelles les pirates informatiques paient, sinon ils pourraient avoir compromis l'ensemble d'un réseau publicitaire dans le cadre de leur campagne de propagation de logiciels malveillants. Une fois que vous avez découvert la source, supprimer l'annonce ou le réseau incriminé .
À l'avenir, assurez-vous de rechercher tous les réseaux publicitaires avec lesquels vous souhaitez travailler et autorisez uniquement les réseaux de confiance sur votre site. Bien que cela ne puisse pas fournir une protection complète contre les publicités malveillantes affichées sur votre site, cela devrait réduire considérablement les risques.
Si le site lui-même a été compromis, vous avez probablement des problèmes bien plus importants. Bien qu'il soit certainement inquiétant si votre site est utilisé pour propager des logiciels malveillants, les attaquants pourraient également s'introduire plus loin dans votre site, voler des données et causer d'autres dommages .
En raison de cette menace, ceux qui n’ont pas d’expertise en matière de sécurité dans leur organisation devront peut-être faire appel à des professionnels externes pour remédier à la situation. Les enjeux pourraient être considérables : non seulement les dommages à la réputation causés par l’infection des visiteurs du site, mais également les retombées potentielles d’attaques plus intenses. C’est pourquoi il est crucial de veiller à ce que les compromis soient traités rapidement et de manière approfondie.
Téléchargements intempestifs : une menace énorme avec des stratégies d'atténuation simples
Si c’est la première fois que vous entendez parler de téléchargements drive-by, cet article vous a peut-être terrifié. C'est certainement alarmant de penser que vous pourriez être victime d'une attaque grave, le tout pour quelque chose d'aussi simple que de visiter votre site Web préféré .
Même si le site Web est légitime et que vous n’avez effectué aucun clic, les téléchargements en voiture peuvent déclencher une chaîne d'événements menant à des attaques dévastatrices . Même si ces scénarios sont inquiétants, la bonne nouvelle est qu’il est relativement facile de minimiser les chances d’être victime de la majorité de ces attaques.
En vous assurant que votre logiciel est toujours à jour, en suivant des pratiques de navigation intelligentes et en utilisant des outils comme NoScript ou un bloqueur de publicités, vous éliminerez de nombreuses voies dont profitent les pirates dans leurs campagnes de téléchargement en voiture. Ces étapes ne peuvent pas vous assurer une sécurité à 100 %, mais les suivre devraient vous permettre d’utiliser Internet en toute confiance.