Qu’est-ce que la publicité malveillante et comment pouvez-vous vous en défendre ?
La publicité malveillante, ou malvertising, est une technique courante utilisée par les cybercriminels pour lancer leurs campagnes d'attaque. Ils peuvent payer pour des publicités display ou même reprendre des réseaux publicitaires entiers.Lorsque les visiteurs du site tombent sur ces publicités, les attaquants exploitent toute une gamme de techniques différentes pour les infecter avec des logiciels malveillants., souvent sans même obliger la cible à cliquer sur l'annonce. C’est vrai, il est possible d’être attaqué simplement en visitant un site hébergeant des publicités malveillantes.
A quoi servent les attaques de publicité malveillante ?
La publicité malveillante est l’une des nombreuses techniques utilisées par les cybercriminels pour lancer leurs attaques. En général, leur désir ultime est d’essayer de gagner de l’argent (même s’ils sont parfois impliqués dans des activités d’espionnage ou de sabotage). Pour atteindre cet objectif final, ils doivent généralement installer des logiciels malveillants à un moment donné du processus.
Historiquement, les cybercriminels ont souvent accompli cela par courrier électronique, que ce soit en harponnant des cibles individuelles ou en diffusant du spam dans l'espoir d'inciter les utilisateurs à télécharger des logiciels dangereux.
Au lieu d'atteindre leurs objectifs dans leur boîte de réception,la publicité malveillante donne aux attaquants la possibilité d’infecter les ordinateurs des personnes lorsqu’elles naviguent sur le Web. Lorsque les visiteurs du site tombent sur des publicités malveillantes implantées par des cybercriminels, ils peuvent être obligés de télécharger automatiquement le logiciel malveillant. Alternativement, des tactiques sournoises peuvent être utilisées pour les inciter à cliquer et à exécuter le téléchargement.
Ce qui se passera ensuite variera d’une attaque à l’autre.Parfois, le visiteur du site télécharge directement la charge utile malveillante. À d’autres moments, ils peuvent être redirigés, déplacés et contraints d’exécuter du code malveillant petit à petit jusqu’à ce que l’attaquant ait enfin le logiciel malveillant qu’il souhaite réellement sur l’ordinateur de sa victime.
La charge utile ultime peut être l’une des suivantes, ou une combinaison de celles-ci :
- Spyware – Ce type de malware peut prendre des captures d’écran, prendre le contrôle du microphone et de la caméra, enregistrer les frappes au clavier et même rechercher des mots de passe ainsi que d’autres informations sensibles. Les attaquants utilisent ces informations pour pénétrer encore plus loin dans les systèmes, pour extorquer des personnes ou même pour commettre un vol d'identité.
- Rançongiciel - Quand rançongiciel se fraye un chemin sur un système cible, il recherche dans les dossiers et verrouille tous les fichiers qu'il juge importants. Les attaquants exigent ensuite que les victimes paient une rançon avec des crypto-monnaies, affirmant qu'ils enverront aux victimes une clé qui leur permettra de déverrouiller les fichiers si elles s'y conforment. Même dans les cas où les victimes paient, rien ne garantit que l’attaquant leur enverra la clé. S’ils n’ont pas de chance, ils risquent de se retrouver avec leurs fichiers définitivement verrouillés et de perdre des milliers de dollars en rançon.
- chevaux de Troie – Ceux-ci sont souvent utilisés pour donner aux attaquants un accès dérobé à un système, comme moyen d’installer d’autres logiciels malveillants sur la cible ou pour voler des détails financiers et d’autres données.
- Bots – Les attaquants peuvent utiliser des logiciels malveillants pour recruter des appareils esclaves dans le cadre d'un botnet. Ils peuvent alors soit louer les appareils et les ordinateurs sous leur contrôle, soit les utiliser eux-mêmes pour lancer Attaques DDoS , les escroqueries par phishing et d'autres attaques.
- Cryptojacking – Également connu sous le nom de malware de crypto mining, les attaquants installent sournoisement un logiciel de crypto mining sur l’ordinateur d’une cible, puis utilisent ses ressources pour exploiter eux-mêmes des crypto-monnaies comme Bitcoin. Bien qu’elle soit relativement inoffensive par rapport aux autres attaques, elle peut ralentir l’ordinateur d’une victime et utiliser sa bande passante.
- Logiciel publicitaire – Les attaquants peuvent gagner de l’argent en installant un logiciel qui affiche des publicités sur les ordinateurs de leur cible. Chaque fois qu’une annonce est affichée ou que l’utilisateur effectue un clic, l’attaquant gagne un tout petit peu d’argent. Au fil du temps, ce montant s'accumule, en particulier sur des milliers ou des millions d'ordinateurs. Les logiciels publicitaires ont également tendance à être relativement légers par rapport aux autres types de logiciels malveillants répertoriés ci-dessus.
Les cybercriminels peuvent utiliser la charge utile pour gagner directement des fonds, par exemple via le minage de cryptomonnaies ou l'extorsion impliquée dans les ransomwares. Alternativement, ils peuvent rechercher un accès plus approfondi aux systèmes de leurs cibles, afin de pouvoir voler des données clients, de la propriété intellectuelle ou même saboter des actifs.
La différence entre la publicité malveillante et les logiciels publicitaires
La publicité malveillante et les logiciels publicitaires peuvent facilement être confondus, car ils impliquent tous deux de la publicité et des intentions néfastes. La principale différence est quela publicité malveillante utilise des publicités pour diffuser des logiciels malveillants, alors que les logiciels publicitaires sont un type de logiciel malveillant, et il peut se retrouver sur les ordinateurs cibles de plusieurs manières.
La publicité malveillante ne rapporte pas à elle seule de l’argent aux attaquants ; c'est simplement un moyen de gagner de l'argent. Cela peut conduire à des ransomwares, des logiciels espions ou à l’une des autres charges utiles mentionnées dans la section précédente. Les logiciels publicitaires rapportent directement de l'argent aux attaquants, car les annonceurs les paient chaque fois qu'une annonce est affichée à un utilisateur ou chaque fois que l'utilisateur clique sur les annonces.
Pour le dire autrement,la publicité malveillante est une méthode pour monter des attaques, alors que les logiciels publicitaires peuvent être le but ultime. La publicité malveillante peut même être utilisée pour diffuser des logiciels publicitaires, en utilisant des publicités pour inciter les utilisateurs à télécharger et à exécuter le logiciel publicitaire.
Où les internautes sont-ils confrontés à des publicités malveillantes ?
Vous pouvez rencontrer des publicités malveillantes partout où vous voyez des publicités en ligne. Cela inclut les bannières publicitaires et les popups sur les sites Web, les publicités qui apparaissent avant les vidéos et même les publicités qui apparaissent dans les applications.
Ces publicités ne sont généralement pas affichées directement par le site Web. Au lieu de cela, ils sont chargés à partir d'une source tierce appelée réseau publicitaire. Les réseaux publicitaires fonctionnent comme des intermédiaires entre les sites Web qui diffusent des publicités et les annonceurs qui souhaitent que leurs publicités soient diffusées aux visiteurs du site. Ces réseaux publicitaires regroupent les publicités, faisant correspondre l'offre et la demande entre les annonceurs et les éditeurs.
Vous êtes plus susceptible de trouver des publicités malveillantes dans les parties les plus obscures du Web, telles que les sites pornographiques, les casinos en ligne et les paradis sur Internet pour les activités illégales.. C’est également courant sur les petits sites Web. Vous pouvez vous attendre à constater partout que les propriétaires de sites ne sont pas trop scrupuleux ou n’ont pas les connaissances ou les ressources nécessaires pour tenir à distance ces campagnes publicitaires malveillantes.
Même si vous êtes plus susceptible de rencontrer des publicités malveillantes sur des sites douteux, cela ne signifie pas que vous devez baisser votre garde lorsque vous parcourez des pages plus courantes et plus appréciées.Des publicités malveillantes ont déjà fait leur chemin sur le Sites Web du New York Times et de la BBC , dans Skype , et sur Applications Windows 10 . Cette omniprésence est la raison pour laquelle vous devez toujours rester vigilant.
Comment les attaquants diffusent-ils leurs publicités sur les sites Web et dans les applications ?
Les cybercriminels disposent de trois moyens différents pour lancer des campagnes de publicité malveillante :
- En payant les publicités – Si les attaquants se sentent saturés, ils peuvent faire ce que tout le monde fait lorsqu’ils souhaitent diffuser des publicités : ils paient les propriétaires de sites ou les réseaux publicitaires pour afficher leurs publicités. La seule différence est que les cybercriminels diffusent des publicités malveillantes sur les téléspectateurs, ce qui peut entraîner des scénarios bien pires que de simples désagréments.
- En compromettant un réseau publicitaire – Une autre technique d’attaque courante consiste à prendre le contrôle de l’intégralité d’un réseau publicitaire. Les pirates peuvent compromettre un réseau publicitaire légitime et l'utiliser pour diffuser leurs publicités malveillantes. Cette technique est utile pour diffuser des publicités sur des sites Web plus étroitement surveillés, tout comme lors de l'attaque contre le New York Times, la BBC et d'autres sites Web évoqués dans la section précédente.
- En créant leurs propres agences de publicité – Cette méthode n’est pas aussi courante car elle demande beaucoup plus de travail, mais elle reste une possibilité. Un bon exemple est le Attaques au zirconium en 2017 , qui impliquait un cybercriminel qui avait créé 28 fausses agences de publicité et était responsable de la diffusion d'environ un milliard de publicités malveillantes.
Pourquoi les attaquants peuvent-ils acheter des publicités pour diffuser des logiciels malveillants ? Pourquoi la publicité malveillante n’est-elle pas bloquée ?
Il peut sembler étrange que des attaquants puissent simplement acheter des publicités et les utiliser pour infecter les visiteurs du site avec des logiciels malveillants. La plupart du temps, les éditeurs et les réseaux publicitaires tentent d’éviter d’afficher des publicités malveillantes, mais ils n’empêchent pas les visiteurs du site de les rencontrer dans tous les cas. Les raisons derrière cela sont généralement les suivantes :
- Les éditeurs et les réseaux publicitaires peuvent s'en moquer – Si un attaquant est prêt à les payer, il peut fermer les yeux sur les publicités infectieuses. Cela est particulièrement vrai dans les parties les plus douteuses du Web. Les opérateurs d’un site de jeu illégal subiront moins de dommages à leur réputation que le New York Times ou Facebook si un logiciel malveillant est découvert dans leurs publicités.
- Ils ne savent peut-être pas – Les sites Web et les réseaux publicitaires plus petits peuvent ne pas disposer des connaissances ou des ressources nécessaires pour détecter les logiciels malveillants dans leurs publicités. Même lorsque des contrôles sont en place, les attaquants peuvent utiliser des techniques sophistiquées pour masquer le code malveillant.
Les publicités Internet modernes peuvent être complexes et contenir du contenu exécutable.Cette complexité ouvre la porte à la tromperie et aux manœuvres, et les pirates ont développé un certain nombre de moyens pour éviter d'être détectés.. Lorsque l’on tente de faire passer des logiciels malveillants au-delà des réseaux publicitaires, des plateformes et des éditeurs, les techniques les plus courantes incluent l’obscurcissement, la redirection, les logiciels malveillants sans fichier et la stéganographie.
Obscurcissement
L'obscurcissement consiste à rendre le code difficile à comprendre pour les humains et les programmes.Il a applications légitimes , comme la protection de la propriété intellectuelle, mais il peut également être utilisé pour introduire du code malveillant dans les publicités.
En écrivant du code malveillant d’une manière qui cache sa véritable nature, les pirates peuvent confondre les humains et les scanners. Si personne ne peut détecter qu’une publicité est malveillante, il n’y a aucune raison évidente d’empêcher son affichage. Lorsque les pirates informatiques obscurcissent soigneusement leur code, il leur est facile de faire passer des publicités malveillantes aux contrôleurs d’accès.
Redirections
La redirection est une partie relativement courante de l’expérience en ligne. Les entreprises peuvent rediriger les visiteurs d'un ancien site Web vers le nouveau, à cause de légères fautes d'orthographe de l'URL vers la page prévue, et pour un certain nombre d'autres raisons.
La pratique est également mise en œuvre dans les publicités légitimes. Si vous cliquez sur une annonce, vous pouvez être redirigé vers un certain nombre de pages avant d'arriver à la bonne destination. Parfois, les visiteurs du site sont redirigés vers une page spécifique en fonction des données que l’annonce glane sur le navigateur de l’individu. Ce processus est connu sous le nom prise d'empreintes digitales .
Même si cela peut paraître choquant, les objectifs ne sont généralement pas plus sinistres que de tenter de faire de la publicité plus efficacement. Cependant, les cybercriminels peuvent également profiter de cette technique pour cacher leurs publicités malveillantes.
Sous la forme la plus simple, les pirates redirigent tous les visiteurs du site qui cliquent sur une annonce, les dirigeant vers une page malveillante . Ceci est facile à détecter et ne s’avère pas trop efficace. Les pirates peuvent rendre l'attaque plus sophistiquée en prendre les empreintes digitales des visiteurs et rechercher spécifiquement ceux qui utilisent des logiciels obsolètes qui les rendent vulnérables aux attaques .
Lorsque les personnes disposant des dernières mises à jour rencontrent ces publicités malveillantes, le processus d’empreinte digitale indique qu’elles ne sont pas vulnérables et les redirige vers une page normale. Ces visiteurs ne sauront peut-être jamais qu’ils trébuchaient à l’ouverture d’un piège.
Ils sont généralement détournés de l’attaque, car cela n’a aucun sens d’envoyer quelqu’un vers l’étape suivante si les cybercriminels savent que l’attaque ne fonctionnera pas contre eux.
Pour cette raison, les pirates ne redirigent souvent les visiteurs vers les étapes élevées de l’attaque que s’ils sont vulnérables et que l’attaque a des chances de réussir contre eux. La majorité des visiteurs ne s’approcheront peut-être même jamais de ces scènes .
De la même manière que les attaquants peuvent filtrer entre ceux qui sont vulnérables et ceux qui ne le sont pas, ils peuvent également filtrer les configurations couramment utilisées par les chercheurs en sécurité pour la détection, telles que les bacs à sable et les machines virtuelles. .
Si le processus de prise d'empreintes digitales indique qu'une cible potentielle pourrait effectivement impliquer une machine virtuelle, il peut la rediriger vers une page légitime, plutôt que vers une page malveillante. Cela peut empêcher les chercheurs de découvrir l’attaque.
Lorsque la redirection est structurée intelligemment, elle peut s’avérer incroyablement efficace pour dissimuler les logiciels malveillants. Si les éditeurs et les réseaux publicitaires sont toujours redirigés vers des pages apparemment légitimes chaque fois qu'ils effectuent leurs inspections, alors ils ne peuvent pas détecter les pages malveillantes vers lesquelles seul un petit nombre d’utilisateurs vulnérables peuvent être dirigés . Cela en fait une autre tactique importante utilisée par les pirates pour infecter les utilisateurs sans détection.
Malware sans fichier
Les logiciels malveillants sans fichier n'écrivent pas sur le disque, ce qui rend leur détection difficile par les méthodes traditionnelles telles que la détection de signatures, l'analyse de modèles et la liste blanche basée sur les fichiers. Cela rend également la criminalistique numérique difficile, car le malware est conçu pour ne laisser aucune trace à long terme sur le système .
Les pirates exploitent ces fonctionnalités pour intensifier les attaques lors de leurs campagnes de publicité malveillante. Les logiciels malveillants sans fichier leur permettent de cacher leurs intentions, permettant ainsi à l'attaque de se propager davantage sans être détectée.
Stéganographie
Stéganographie est une autre tactique sournoise qui permet aux pirates de cacher du code malveillant. D'une manière plus générale, la stéganographie est la pratique consistant à cacher des informations de manière à donner l'impression qu'aucune information n'est présente. Cela diffère de cryptographie , qui se préoccupe davantage de protéger un message par des moyens tels que le cryptage, plutôt que de cacher sa présence même.
Un exemple simple de stéganographie est l’encre invisible. Vous pouvez écrire une lettre entière à quelqu'un avec, mais cela ressemblerait toujours à une feuille de papier vierge pour un intercepteur à moins qu'il ne sache comment le découvrir.
Bien que l’image de l’arbre semble tout à fait normale, elle contient en réalité l’image du chat cachée à l’intérieur par un logiciel stéganographique. Photographie d'un arbre, contient une image cachée par Cyp sous licence CC0. Stéganographie récupérée par Cyp sous licence CC0
En matière de publicité malveillante, nous voyons parfois du code malveillant caché de manière stéganographique dans les fichiers image. Ces images peuvent paraître tout à fait normales, etle code caché ne peut être détectable qu'avec un logiciel stéganographique spécifique.
Les pirates peuvent utiliser la stéganographie pour masquer le code malveillant et échapper à la détection des réseaux publicitaires et des visiteurs du site. Si le code malveillant est extrait de ces images lorsque les visiteurs du site les rencontrent, il peut alors lancer des attaques.
Comment la publicité malveillante peut-elle infecter les visiteurs du site ?
Lorsque des personnes sont confrontées à des publicités malveillantes via des bannières, des fenêtres contextuelles ou dans des applications, elles peuvent infecter les utilisateurs de deux manières principales. La première passe par l’ingénierie sociale. La seconde consiste à tirer parti des failles de sécurité.
Ingénierie sociale
Avez-vous déjà croisé une publicité vous avertissant d'un virus sur votre ordinateur ? Il y a de fortes chances qu’il s’agisse en fait d’une publicité malveillante – une ruse qui vise à vous inciter à télécharger un logiciel censé nettoyer votre ordinateur.
Dans ce schéma classique, il ne s’agit généralement que d’une publicité néfaste, et l’ordinateur de la cible va bien. Cependant, certaines personnes sont effrayées par ces publicités et supposent qu’il s’agit d’avertissements légitimes de leur programme antivirus.
Ils suivent les instructions et téléchargent le programme censé éliminer le virus.Le programme est en réalité un véritable malware qui finit par infecter l’ordinateur – le visiteur se serait parfaitement bien passé s’il avait simplement ignoré l’avertissement..
Une publicité malveillante typique qui utilise l'ingénierie sociale pour vous inciter à télécharger des logiciels malveillants. Panneau stop par Syced sous licence CC0.
Dans l'exemple ci-dessus,les attaquants ont lancé une campagne de publicité malveillante qui utilise l'ingénierie sociale pour inciter les cibles à télécharger des logiciels malveillants. Cela signifie essentiellement qu’ils manipulent l’utilisateur à travers un faux scénario, tirant souvent parti de la peur pour lui faire prendre l’action souhaitée – une action complètement différente de ce que pense la victime.
Même si l’ordinateur de la victime allait initialement bien, elle avait peur de télécharger le véritable malware parce que la publicité lui faisait penser qu’elle avait déjà un virus. Il existe un large éventail de schémas similaires, tels que de fausses notifications de mises à jour du système ou de nouvelles versions de Flash.
Le point commun est qu’ils induisent la victime en erreur en lui faisant prendre une mesure qu’elle n’aurait pas faite si elle avait su ce qui se passait réellement. Personne ne télécharge de logiciels malveillants pour le plaisir, c'est pourquoi les pirates informatiques utilisent l'ingénierie sociale comme technique efficace pour manipuler leurs victimes afin qu'elles fassent ce qu'elles veulent.
Vulnérabilités
Dans certaines situations, les pirates n’ont pas besoin de tromper leurs victimes.Une proportion importante d'internautes négligent les mises à jour de leurs navigateurs, plugins, systèmes d'exploitation et autres logiciels.. Les mises à jour contiennent souvent des correctifs de sécurité qui comblent les failles récemment découvertes dans les programmes.
Lorsque les utilisateurs ne disposent pas de ces dernières mises à jour, les pirates peuvent exploiter les vulnérabilités existantes pour pénétrer dans leurs systèmes. Le plus choquant est que tout cela peut être fait sans que la victime en ait conscience ou même sans un seul clic. C'est ce qu'on appelle un téléchargement en voiture .
Les pirates informatiques profitent d'un large éventail de logiciels obsolètes dans ces attaques, mais les plus courants incluent :
- Anciennes versions de Windows et d'autres systèmes d'exploitation.
- Navigateurs non corrigés comme Internet Explorer ou Chrome.
- Versions obsolètes d'Adobe Flash et d'autres plugins.
Dans ces attaques, les utilisateurs prennent souvent leurs empreintes digitales pour voir s'ils sont vulnérables. Les personnes susceptibles d'être attaquées sont ensuite redirigées vers des pages contenant du code malveillant, qui est souvent masqué par du JavaScript obscurci ou d'autres techniques.
Les attaques s'intensifient et finissent par amener une charge utile sur l'ordinateur ciblé. Il s'agit souvent d'un cheval de Troie, d'un logiciel espion, d'un ransomware ou d'un autre type de malware.
Exemples de publicité malveillante
La publicité malveillante peut prendre différentes formes, avec des objectifs finaux variés. Voici quelques exemples de campagnes de publicité malveillante des dernières années :
La campagne VeryMal
La campagne VeryMal est intéressante car elle a utilisé diverses techniques d'évasion à mesure que ses anciennes méthodes devenaient moins efficaces. Le groupe a attiré l’attention pour la première fois en 2018 lorsqu’il a été découvert en utilisant la stéganographie pour masquer le code de redirection.
Lorsque les visiteurs du site ont rencontré la publicité malveillante, JavaScript prendrait leurs empreintes digitales pour voir s'ils prenaient en charge les polices Apple . Ceux qui l’ont fait ont été envoyés à l’étape suivante, qui extrayait le code des pixels de l’image de l’annonce.
Les caractères ont été dessinés individuellement, puis rassemblés en une chaîne, qui redirigeait vers une page hébergeant une fausse mise à jour Flash. Lorsque les victimes potentielles en sont arrivées à ce point, le groupe a eu recours à ingénierie sociale pour essayer de les convaincre qu'ils devaient télécharger la prétendue mise à jour Flash .
Bien sûr, il ne s’agissait pas vraiment d’une mise à jour Flash, mais d’un type de logiciel publicitaire pour Mac connu sous le nom de Shlayer. Ceux qui ont été amenés à le télécharger ont été exposés à des publicités inutiles sur leur ordinateur, ce qui a également épuisé les ressources et le a ralenti.
Début 2019, le groupe VeryMal change de tactique. Au lieu de cacher le code de redirection avec la stéganographie, c'était utiliser des tags publicitaires pour récupérer une charge utile similaire à partir de Google Firebase .
Les tags publicitaires sont des morceaux de code HTML que les navigateurs utilisent pour récupérer les annonces des serveurs publicitaires. Google Firebase est une plateforme de développement d'applications hébergée dans le cloud. La balise demande une entrée à la base de données Firestore de VeryMal, puis l'exécute via JavaScript.
Le code est masqué pour éviter toute détection, et il prend les empreintes digitales de la cible, ne s'attaquant qu'aux utilisateurs de Safari. Les candidats appropriés sont ensuite redirigés vers la fausse page de mise à jour Flash dans l'espoir que les attaquants pourront les inciter à télécharger le logiciel publicitaire Shayler.
eGobbler
Le groupe eGobbler était l’un des annonceurs malveillants les plus importants de 2019. En avril, le groupe a lancé une vaste campagne ciblant Chrome sur iOS. Les versions antérieures à 75 étaient vulnérables. Selon Confiant , la campagne a exposé environ 500 millions de sessions d'utilisateurs en seulement six jours .
Lors d'une autre explosion d'août à septembre, eGobbler est réapparu encore plus fort. Confiant estime que ce regroupement d’attaques a entraîné plus de 1,16 milliard d’impressions compromises. Au premier abord, cette deuxième campagne semblait similaire à la première,mais il s'agissait en fait de rediriger les navigateurs WebKit, tels que Safari. Lorsque le code a été désobscurci, il a été démontré qu'il utilisait des iFrames pour poursuivre l'attaque.
Alors que la première attaque concernait principalement les iPhones, 78 % de la deuxième itération ciblait les PC Windows. Près de 14 % ciblaient Mac OS X, environ 7 % Linux et 1,1 % iOS. Il a réalisé 82 % de ses impressions via Chrome, avec seulement 10 % via Firefox, 3,4 % via Edge et 2,2 % via Opera.
Les publicités malveillantes redirigeraient de force les visiteurs sensibles du site, en exploitant les vulnérabilités du navigateur pour les rediriger vers des pages de destination contrôlées par les attaquants.. Les charges utiles malveillantes seraient ensuite transmises via un réseau de diffusion de contenu (CDN).
Les développeurs concernés ont été informés de l'attaque début août. Un correctif a été publié pour Chrome quelques jours plus tard. Les correctifs d’iOS 13 et Safari 13.0.1 n’ont été publiés que dans la seconde quinzaine de septembre.
Cryptojacking
Les cybercriminels sont rusés et trouvent constamment de nouvelles façons de gagner de l’argent. L’une des dernières tendances est le cryptojacking, qui consiste à s’emparer subtilement des ressources informatiques d’une cible à son insu et à les utiliser pour miner des crypto-monnaies telles que Bitcoin ou Monero .
Cette technique a même été combinée avec du malvertising, avec des campagnes élaborées qui permettent aux attaquants de forcer les visiteurs du site à exploiter pour eux, le tout au moyen de publicités malveillantes.
En 2018, Netlab 360 a signalé une série sophistiquée d'attaques de cryptojacking utilisant des algorithmes de génération de domaine (DGA) pour garder une longueur d'avance sur les chercheurs en sécurité.
Les publicités malveillantes étaient principalement hébergées sur des sites Web pornographiques. Lorsque des cibles sensibles visitaient ces pages, elles étaient redirigées vers serve.popad[.]net, qui hébergeait le code JavaScript coinhive.min[.]js.
Ce code JavaScript a ensuite secrètement détourné les ressources de la cible, les utilisant pour miner des cryptomonnaies via Coinhive,tout cela pour le bénéfice de l’attaquant. Bien que cette attaque puisse paraître relativement anodine, elle peut ralentir les ordinateurs des cibles, les surchauffer et est toujours considérée comme malveillante.
Même les utilisateurs d’Adblock n’étaient pas à l’abri de cette attaque. Alors qu'Adblock limitait l'accès à serve.popad[.]net, les attaques utilisaient la technologie DGA pour générer continuellement de nouveaux domaines, permettant aux cybercriminels de garder une longueur d'avance sur les chercheurs en sécurité. La vague constante de nouveaux domaines signifiait que les logiciels malveillants disposaient toujours de centres de commande et de contrôle actifs, à partir desquels les attaquants pouvaient continuer à exploiter des crypto-monnaies.
Cette fonctionnalité a rendu la campagne d'attaque assez prolifique, trois de ses noms de domaine apparemment aléatoires ayant un classement Alexa de 1 999, 2011 et 2071 au plus fort de la campagne. Infecter plusieurs sites Web parmi les 2 000 premiers n’est pas une mince affaire pour une attaque de cryptojacking.
Rugueux
L'équipe Malwarebytes étudiait le kit d'exploitation Magnitude lorsqu'elle a remarqué une chaîne de redirection suspecte, qu'elle a baptisée Rugueux après l'un des domaines qu'ils ont repérés. Après une enquête plus approfondie, ils ont découvert que RoughTed était lié à une vaste et diversifiée campagne de logiciels malveillants qui a culminé en mars 2017.
Malwarebytes estime que les domaines liés à la campagne ont accumulé environ un demi-milliard de visites, tandis que Les chiffres de Check Point suggère que28 % des organisations à travers le monde ont été touchées lors de la campagne de juin.
Il a depuis été souligné que RoughTed et les domaines associés faisaient en réalité partie du réseau publicitaire AdMaven. Les tentatives de publicité malveillante ont été lancées plus en aval et les attaquants ont compromis les agences de publicité comme point de départ de leur campagne.
Les caractéristiques marquantes de la campagne RoughTed ne sont pas seulement sa taille, mais aussi sa portée et sa diversité. Des publicités malveillantes ont été diffusées sur des milliers d'éditeurs, dont certains figuraient dans le top 500 d'Alexa.
La campagne présentait également des techniques sophistiquées de prise d'empreintes digitales et la possibilité d'éviter les bloqueurs de publicités. Il pourrait même détecter ceux qui étaient trompeurs sur leur géolocalisation et la configuration de leur navigateur.
L'une de ses tactiques de vérification les plus courantes consistait à vérifier que les polices installées correspondaient à celles du navigateur que le visiteur du site prétendait posséder. Si le processus de prise d'empreintes digitales montrait que les polices ne correspondaient pas, il était alors probable que la cible essayait d'induire l'attaquant en erreur. .
Quelle que soit la configuration du navigateur d'un visiteur du site, il serait redirigé quelque part pour tenter de faire avancer l'attaque. Les étapes suivantes dépendaient de leur navigateur, de leurs plugins, de leur système d'exploitation et de leurs vulnérabilités uniques.
À titre d'exemple, certains utilisateurs de Windows seraient poussés à installer des programmes potentiellement indésirables (PUP). De fausses mises à jour Java et Flash étaient souvent utilisées pour inciter les cibles à installer des logiciels publicitaires et d'autres programmes nuisibles.
RoughTed pourrait même contourner les bloqueurs de publicités dans Google Chrome , puis envoyez une fausse extension Chrome au visiteur du site. Si la cible cliquait n’importe où sur la page, son navigateur serait piraté.
Alternativement, les utilisateurs vulnérables pourraient être redirigés vers les kits d'exploitation RIG ou Magnitude, qui peuvent installer des chevaux de Troie, des logiciels de cryptominage, des ransomwares et d'autres programmes malveillants.
La campagne RoughTed pourrait également conduire des cibles potentielles vers des escroqueries au support technique, où les agents des centres d'appels tenteraient de les convaincre qu'ils ont un virus et leur extorqueraient ensuite de l'argent.
Ceux qui utilisent des Mac pourraient être redirigés vers des installations de logiciels publicitaires, des extensions Chrome dangereuses pourraient s'installer elles-mêmes et les cibles pourraient même être redirigées vers des enquêtes douteuses ou vers l'iTunes Store. Ces nombreux chemins montrent à quel point la campagne RoughTed était sophistiquée et diversifiée. .
annonces-fibre
Une autre campagne d'attaque majeure a été signalée pour la première fois par Malekal , un site informatique français. Il a ensuite été examiné plus en détail par Confiant , qui a révélé que les attaquants avaient compromis 100 millions de publicités au cours des six premiers mois de 2019.
L'un des aspects les plus intéressants de la campagne était que il diffusait des publicités dans Windows JigSaw, Outlook et d'autres applications de bureau . Bien que la publicité malveillante dans l'application soit une approche plus nouvelle, l'attaquant poursuivait également des victimes potentielles grâce à des tactiques traditionnelles, ciblant également les visiteurs du site via des publicités malveillantes basées sur le navigateur.
Les publicités malveillantes affichées dans les applications de bureau Windows 10 étaient souvent connectées au domaine ads.creative-serving[.]com. Il s'agit d'un domaine de diffusion d'annonces appartenant à Platform161, une plateforme d'achat d'annonces. Le domaine de Platform161 avait été compromis par les cybercriminels.
La page ads.creative-serving[.]com a été la première à prendre les empreintes digitales des visiteurs. Les victimes appropriées ont été redirigées vers un annonce malveillante qui semblait provenir de Microsoft. L'annonce proposait aux visiteurs un iPhone XS, un iPad Pro ou un Galaxy S10.
Bien entendu, ceux qui ont été incités à cliquer sur l’annonce n’ont pas reçu de nouvel appareil par courrier. Au lieu de cela, le visiteur du site serait envoyé sur un certain nombre de chemins sinistres. L’une d’elles était l’astuce classique « Vous avez un virus, cliquez ici pour le supprimer », qui n’infecte en réalité les visiteurs que s’ils cliquent dessus.
Alternativement, les visiteurs du site pourraient être dirigés vers une enquête qui les inciterait à s'inscrire à des prélèvements mensuels sur leurs comptes bancaires .
Confiant a examiné de plus près les actions de l’attaquant et a pu le connecter à une société basée à Hong Kong appelée « fibre-ads ». fibre-ads a depuis changé son nom en « Clickfollow », mais la même entité a utilisé plus de 150 domaines distincts depuis 2017 .
Cette entreprise opère dans une partie obscure du monde de la publicité, servant apparemment d'intermédiaire que les attaquants peuvent utiliser pour afficher des publicités malveillantes sur son réseau. Il est difficile de déterminer si certaines des campagnes malveillantes proviennent de Fiber-Ads lui-même et quelle partie des attaques provient de sa base de clients.
Détection et prévention de la publicité malveillante
La publicité malveillante sert d’introduction à une partie importante des attaques dans notre monde en ligne. En minimisant sa prévalence, nous pouvons contribuer à rendre Internet plus sûr pour tous. Cela peut être accompli en améliorant nos approches de détection et de prévention à tous les niveaux, y compris les réseaux publicitaires, les éditeurs et les internautes individuels.
Réseaux publicitaires
Les cybercriminels rechercheront toujours les opportunités les plus pratiques dont ils disposent pour gagner de l’argent. À moins de construire une utopie, nous ne pouvons pas faire grand-chose pour éliminer ce facteur. Étant donné que les publicités malveillantes constituent un point de départ pratique pour les campagnes d'attaques cybercriminelles,il incombe ensuite aux réseaux publicitaires d'empêcher la diffusion de publicités malveillantes auprès des visiteurs du site..
L’une de leurs principales responsabilités est d’analyser les publicités à la recherche de codes malveillants. Il existe une gamme variée de logiciels qui recherchent les logiciels malveillants de plusieurs manières différentes. Les plus courants sont :
- Signature – L'analyse des signatures est l'une des formes les plus anciennes de détection des logiciels malveillants. Lorsque les chercheurs en sécurité découvrent pour la première fois une nouvelle souche de malware, ils ajoutent le hachage du malware, appelé signature, à une base de données. De nombreux produits antivirus fonctionnent en comparant les fichiers suspects à ces bases de données, recherchant le code indiquant que le fichier contient une forme de logiciel malveillant précédemment découverte.
- Comportement – De nombreux logiciels malveillants fonctionnent selon des modèles de comportement prévisibles. Cette méthode d’analyse consiste à rechercher des comportements malveillants révélateurs, puis à signaler le code qui semble agir dans ce sens.
Malheureusement, détecter les logiciels malveillants n’est pas toujours aussi simple. Les cybercriminels ont tout intérêt à éviter d’être détectés, et utilisent souvent les empreintes digitales parallèlement à des mesures évasives telles que l'obscurcissement, la stéganographie et la redirection , afin qu'ils puissent faire passer des publicités malveillantes sur les réseaux.
Même les systèmes de détection les plus avancés et les plus complets ne peuvent pas toujours empêcher ces tentatives sophistiquées. Par conséquent, les réseaux publicitaires doivent également disposer de plans pour réagir rapidement lorsqu’ils découvrent qu’un code malveillant a été affiché dans leurs publicités.
En agissant rapidement, un réseau publicitaire peut non seulement aider à limiter l’exposition et l’infection potentielle , mais cela peut également réduire les conséquences négatives que la publicité malveillante pourrait avoir sur la propre réputation du réseau. Un plan de réponse efficace ne doit pas nécessairement être purement altruiste. Cela peut également empêcher le réseau publicitaire de paraître mauvais aux yeux de ses clients.
Les opérateurs de réseaux publicitaires devraient également prendre soin de leur sécurité générale, pour empêcher les pirates de compromettre facilement leurs réseaux et de les utiliser pour diffuser des publicités malveillantes . Les meilleures pratiques telles que les mots de passe uniques et complexes, le principe du moindre privilège, l'authentification à deux facteurs et la formation anti-phishing ne sont que quelques-uns des éléments fondamentaux que les réseaux publicitaires doivent mettre en œuvre pour protéger leurs activités.
Réseaux publicitaires de zone grise
Les tactiques mentionnées ci-dessus ne sont efficaces que pour les réseaux publicitaires légitimes. Les réseaux publicitaires qui opèrent dans l’ombre peuvent fermer les yeux sur la publicité malveillante en échange d’un paiement, ou même être directement impliqués dans les campagnes. Bien entendu, ces réseaux publicitaires ne feront pas tout leur possible pour protéger les visiteurs de leur site contre la publicité malveillante.
Il s’agit d’un problème difficile à résoudre, en raison des opérations internationales des gangs cybercriminels et des réseaux publicitaires qui peuvent être mêlés à leurs sinistres entreprises. Peut-être une législation supplémentaire, une répression policière contre ces réseaux et une coopération mondiale des autorités pourrait contribuer à limiter la viabilité de nombreux réseaux publicitaires douteux .
Cependant, même dans le meilleur des cas, il est probable que certains réseaux publicitaires malveillants persisteront en raison de la complexité de la réglementation et du contrôle international. Cela laisse aux éditeurs et aux visiteurs du site certaines responsabilités pour éviter leur exposition à la publicité malveillante.
Éditeurs
Dans l’écosystème de la publicité en ligne, les éditeurs sont simplement les sites Web qui hébergent des publicités. Votre site d'actualités incontournable, votre blog le plus visité et votre forum préféré seront tous considérés comme des éditeurs s'ils affichent des publicités. . Google et Facebook sont également considérés comme des éditeurs, mais ils disposent de leurs propres réseaux publicitaires.
Tout comme les réseaux publicitaires, les éditeurs ont également la responsabilité de lutter contre la publicité malveillante . Peu importe qu’il s’agisse d’un blog qui reçoit 100 visites chaque mois ou d’un site qui en reçoit un milliard. Encore une fois, il est important de protéger la réputation du site Web, ainsi que de contribuer à sauvegarder l’ensemble de l’écosystème en ligne.
Dans la mesure du possible, les sites doivent analyser leurs annonces. Les petits sites Web peuvent trouver des outils gratuits comme VirusTotal utile. La plupart des sites Web utilisent des réseaux publicitaires pour afficher leur bannière et d'autres publicités, à la fois à des fins d'efficience et d'efficacité. En raison de cette externalisation et des affichages d'annonces dynamiques personnalisés en fonction des utilisateurs individuels, il se peut qu'ils ne soient pas en mesure d'analyser toutes les annonces qui seront affichées sur leurs sites Web.
Cela signifie qu'ils doivent s'assurer qu'ils ne contractent qu'avec des réseaux dignes de confiance qui examineront soigneusement les publicités pour eux. Les éditeurs doivent suivre les étapes suivantes avant de s'installer sur un réseau publicitaire :
- Examiner la réputation du réseau publicitaire – Si un réseau publicitaire a un historique douteux, il est peu probable qu’il en parle franchement. Un bon point de départ serait de demander des recommandations à des collègues ou à des associés. Sinon, effectuer une recherche sur le Web pourrait conduire les éditeurs à des candidats intéressants. Les éditeurs devraient ensuite prendre le temps de rechercher l’historique de l’organisation et de l’évaluer en fonction des critiques qu’ils peuvent trouver.
- Effectuer une recherche Whois - UN Qui est La recherche est également une bonne idée car elle indiquera à l'éditeur qui a enregistré le domaine, quand et où. Les éditeurs doivent s'assurer que ces informations correspondent à ce que l'entreprise dit sur ses origines. En cas de divergences, les éditeurs doivent consulter l'entreprise pour déterminer si elle est trompeuse.
- Demandez au réseau quels autres clients ils ont – Si le réseau peut prouver que d’autres grandes organisations travaillent avec lui, cela indique que d’autres parties lui font confiance.
- Interrogez le réseau sur ses chemins de diffusion publicitaire et les politiques de sécurité qu'il met en œuvre.
- Consulter le réseau sur ses pratiques publicitaires – Évitez les entreprises qui recourent à des tactiques malveillantes comme les popups et les publicités popunder.
- Demandez s'il est possible de mettre individuellement les annonceurs sur liste blanche – La liste blanche permet aux éditeurs de contrôler quels annonceurs affichent des annonces sur leur site. S’ils respectent leur liste blanche, cela peut aider à empêcher les acteurs malveillants de faire de la publicité sur leurs pages.
- Pensez à désactiver JavaScript dans les annonces si possible – Les attaquants utilisent souvent JavaScript pour infecter les navigateurs vulnérables.
Une fois que les éditeurs ont choisi un réseau publicitaire fiable, ils ont toujours leurs propres responsabilités en matière de prévention des publicités malveillantes. Ils doivent développer une politique stricte de sécurité du contenu et rechercher les logiciels malveillants lorsque cela est possible. Les publicités malveillantes peuvent également être détectées en enregistrant les URL sortantes ou en suivant les erreurs du navigateur avec des outils côté client tels que Frein pneumatique ou Sentinelle .
Personnes
Les visiteurs du site ont également un rôle crucial à jouer pour se protéger. Nous ne pouvons pas éliminer complètement les acteurs malveillants ou l’incompétence des réseaux publicitaires et des éditeurs. Il semble donc que des criminels très sophistiqués continueront de diffuser des publicités malveillantes dans un avenir prévisible.
Si vous souhaitez naviguer sur le Web en toute sécurité et minimiser le risque d'être infecté par des publicités malveillantes, vous devez prendre les précautions suivantes :
- Mettez à jour votre logiciel – Le processus de développement logiciel est imparfait et des vulnérabilités sont découvertes au fil du temps. Les entreprises dignes de confiance corrigeront rapidement toutes les failles qu'elles découvrent, puis enverront les correctifs dans le cadre de la prochaine mise à jour. Si vous n’installez pas la mise à jour dès que possible, vous vous exposez à l’un des vecteurs d’attaque les plus courants liés à la publicité malveillante : tirer parti des exploits de sécurité des logiciels obsolètes. Protégez-vous en mettant à jour automatiquement ou manuellement votre système d'exploitation, votre navigateur et vos autres logiciels dès que possible.
- Utilisez un navigateur sécurisé – Les développeurs ont pris conscience de la gravité de la menace de la publicité malveillante. En réponse, les versions récentes de Chrome, Firefox et d'autres navigateurs disposent d'un certain nombre de fonctionnalités de sécurité pour mieux protéger leurs utilisateurs. Il s’agit notamment de la navigation sécurisée de Google, qui maintient une liste noire des sites Web dangereux et avertit les utilisateurs d’éventuelles attaques.
- Méfiez-vous des plugins – Les plugins non sécurisés sont un autre vecteur d’attaque courant. Vous ne devez installer que les plugins dont vous avez absolument besoin et uniquement s’ils proviennent de fournisseurs réputés. Cela signifie qu’il n’y aura plus de barres d’outils inutiles qui obstruent l’écran de votre navigateur et éliminent tous les plugins que vous n’utilisez pas régulièrement. Moins vous avez de plugins, plus votre surface d'attaque est petite, ce qui réduit les chances qu'un attaquant puisse exploiter avec succès une vulnérabilité de sécurité dans l'un de vos plugins. Bien entendu, les plugins restants devraient également être mis à jour dès la sortie de nouveaux correctifs.
- Réglez Java et Flash sur c lécher pour jouer –Les pirates informatiques profitent fréquemment de Java et de Flash pour lancer leurs attaques. Alors que de nombreux professionnels de la sécurité aimeraient les voir tous les deux mis à la porte en raison des risques qu'ils comportent, la réalité est que les désactiver complètement brisera de nombreuses pages Web et finira par vous offrir une expérience en ligne bien moins bonne. Un bon compromis consiste à les configurer en mode click-to-play afin qu'ils ne s'exécutent (et mettent potentiellement votre ordinateur en danger) qu'une fois que vous avez cliqué dessus. Cela remet le contrôle entre vos mains, vous permettant de les utiliser lorsque cela est nécessaire, sans vous risquer inutilement lorsque vous ne voulez même pas qu’ils fonctionnent.
- Installer un bloqueur de script – Les bloqueurs de scripts comme NoScript pour Firefox et ScriptSafe pour Chrome désactivent l'exécution des scripts par défaut. Juste commecliquez pour jouer, cela va casser beaucoup de sites Web au début. Cependant, ces plugins vous permettent de mettre sur liste blanche les scripts que vous souhaitez autoriser sur certaines pages. Cela demande un peu de travail au début, mais ils vous permettent d'enregistrer vos préférences à un niveau granulaire. Cela pourrait signifier que vous autorisez JavaScript ou Flash à toujours s'exécuter sur des sites Web en qui vous avez confiance, tout en les désactivant ou en les autorisant peut-être temporairement sur d'autres sites.
- Installer un bloqueur de publicité – Si une publicité malveillante est bloquée, elle ne peut pas vous infecter. Certains diront que les bloqueurs de publicités sont essentiels parce que les éditeurs et les réseaux publicitaires ne sont pas suffisamment diligents pour se protéger contre la publicité malveillante. D’autres qualifieraient les bloqueurs de publicité de contraires à l’éthique, car ils privent les sites Web des revenus publicitaires dont ils dépendent pour produire du contenu. Que vous utilisiez ou non un bloqueur de publicités est une décision personnelle, mais uBlock Origin pour Firefox et Adblock Plus pour Chrome peuvent tous deux contribuer à sécuriser votre expérience de navigation. Si vous choisissez d’en utiliser un, envisagez de mettre sur liste blanche les sites Web que vous appréciez ou de les soutenir d’une autre manière.
- Exécutez un programme antivirus – L’exécution d’un antivirus est un moyen important de détecter ou d’empêcher les logiciels malveillants de se retrouver sur votre système. Pour un usage personnel, Windows Defender et la version gratuite de Malwarebytes peuvent accomplir beaucoup de choses sans frais.
- Pensez à utiliser un logiciel anti-exploit – Les attaques de publicité malveillante procèdent souvent en exploitant les vulnérabilités de l'environnement du navigateur. Des programmes tels que Enhanced Mitigation Experience Toolkit (EMET) de Microsoft ou Malwarebytes Anti-Exploit peuvent surveiller votre navigateur pour détecter toute tentative d'exploitation et les arrêter automatiquement, contribuant ainsi à protéger votre système contre ces attaques.
- Assurez-vous que votre pare-feu est en cours d'exécution – Les pare-feu sont un élément essentiel de la sécurité, que ce soit au niveau personnel ou professionnel. Dans le cas de publicités malveillantes, des règles spécifiques peuvent être créées pour surveiller les iFrames, les redirections et autres éléments courants que les cybercriminels utilisent dans leurs attaques.
- Évitez les sites Web potentiellement dangereux – Bien que des publicités malveillantes soient parfois vues sur des sites Web réputés, elles sont beaucoup plus courantes sur des sites plus petits ainsi que sur ceux qui peuplent les zones les plus sombres du Web. Les sites plus petits ne disposent peut-être pas des ressources ou des connaissances nécessaires pour gérer efficacement leurs risques de publicité malveillante, tandis que les sites de jeux d'argent, de partage de fichiers et de pornographie sont souvent des refuges pour les cybercriminels et leurs publicités malveillantes.
Publicité malveillante : une menace permanente
Les cybercriminels exploiteront toutes les opportunités à leur disposition. Une partie importante du Web est alimentée par les revenus publicitaires. Cette omniprésence, ainsi que la possibilité d'insérer du code malveillant dans les publicités, ont conduit àla publicité malveillante sert souvent de point de départ aux campagnes d'attaques cybercriminelles.
Même si les réseaux publicitaires, les éditeurs et les visiteurs du site peuvent certainement faire davantage pour se protéger et protéger l’écosystème dans son ensemble, les attaquants feront évoluer leurs tactiques en même temps. Même si nous ne pouvons pas faire grand-chose pour éviter cette course aux armements dans un avenir proche, la meilleure voie à suivre pour chacun est de mettre en œuvre les principes fondamentaux de sécurité que nous avons évoqués ci-dessus.
Cela ne rendra pas les réseaux publicitaires, les éditeurs ou les visiteurs du site invincibles, mais cela rendra beaucoup plus difficile l’efficacité ou la viabilité financière des attaques. En suivant ces conseils, il est probable que les attaquants passeront simplement à la cible suivante, plus facile, laissant ainsi votre entreprise ou vos systèmes à l’abri de la dernière campagne de publicité malveillante.
crédit image : Argent Adsense par Mohamed Hassan sous licence CC0