Un ransomware a pu être diffusé sur un nombre indéterminé de machines durant un court laps de temps en début de semaine. La menace s'est répandue via des réseaux publicitaires qui avaient été contaminés. Si l'attaque a été jugulée, elle repose la question des failles exploitées dans Flash et d'autres modules souvent non mis à jour.
Plusieurs réseaux publicitaires ont été victimes d’une injection de malware (malvertising). Des sites aussi connus et fréquentés que ceux du New York Times, de la BBC, MSN, et AOL ont servi de relais malheureux, les victimes récupérant alors un ransomware en cas de conditions réunies.
C’est un billet de blog de l’éditeur Trend Micro qui a averti du problème. La société de sécurité y indique que la contamination a commencé la semaine dernière. Au cœur du mécanisme, on trouve Angler Exploit Kit, rassemblant des méthodes d’exploitations de nombreuses failles dans Flash, Silverlight et d’autres logiciels largement répandus. Objectif : trouver un point d’ancrage sur une machine qui ne contiendrait pas les dernières révisions.
Des contenus conçus pour éviter les outils de sécurité
Les publicités contaminées ont été servies sur des sites à très large audience, maximisant ainsi le risque. Par effet de bord, c’est bien l’utilisation renforcée des bloqueurs des publicités qui a vraisemblablement limité les dégâts. Mais selon Trend Micro, en seulement 24h de dimanche à lundi, des milliers de machines ont été exposées à ces publicités vérolées. Le nombre de contamination est cependant inconnu, même si l’attaque a été jugulée.
Selon les SpiderLabs de Trustwave, les publicités sont accompagnées par plusieurs fichiers, dont un de type JSON. Ce dernier contient notamment plus de 12 000 lignes de code en grande partie masquées. Les chercheurs ont pu en déchiffrer une majorité, mettant ainsi au jour une longue liste de produits de sécurité que le malware cherche à éviter pour rester, évidemment, indétecté par ce type d’agent.
Trustwave explique que dans le cas où le code passe en arrivant à rester caché, il crée un élément iFrame dans le corps HTML de la page web, dans lequel le contenu contaminé va s’afficher. La suite dépend de la configuration logicielle de la machine de l’internaute. Si l’une des failles peut être exploitée, il y a exécution de code à distance et installation d’un ransomware. De là, on retrouve les conséquences classiques de ce type de malware : chiffrement des données personnelles et demande d’une rançon pour en retrouver l’accès.
De grands réseaux contaminés
C’est l’éditeur Malwarebytes qui est intervenu le dernier, ajoutant plusieurs informations importantes. On apprend ainsi que les sites my.xfinity.com, nfl.com, realtor.com, theweathernetwork.com, thehill.com et newsweek.com ont eux aussi été victimes de l’attaque. Deux domaines ont été mis en place par les pirates : trackmytraffic.biz et talk915.pw. On sait aussi qu’au moins quatre réseaux publicitaires ont été forcés : Google, AppNexus, AOL et Rubicon.
Il semble également que les sites ayant servi de relais malgré eux aient reçu le malware depuis des domaines associés aux réseaux publicitaires contaminés. Le plus souvent rencontré est brentsmedia.com, dont le whois indique qu’il était enregistré par une société de marketing jusqu’au 1er janvier. Il n’a été repris par l’actuel propriétaire que le 6 mars, soit la veille du début de l’attaque sur les réseaux.
Une méthode très efficace d'infection
Reste que l’on manque actuellement d’informations sur l’ampleur de la contamination, la manière dont les réseaux ont réagi, le nombre de victimes ou encore les caractéristiques précises du ransomware. Malwarebytes a cependant indiqué que ce dernier contenait visiblement au moins une partie de TeslaCrypt, qui ne fonctionne que sous Windows. A priori, la menace ne serait donc effective que sur le système de Microsoft, laissant les autres tranquilles. Comme on a pu le voir cependant avec l’infection du client BitTorrent Transmission, la menace rode désormais aussi pour les Mac.
Malwarebytes précise par ailleurs que toutes les entreprises impliquées d’une manière ou d’une autre ont été contactées durant le week-end, et que de plus amples informations seront publiées quand la situation sera plus claire. On rappellera dans tous les cas que pour les pirates, cette méthode est particulièrement efficace. Le malvertising s’appuie en effet sur l’affichage d’un contenu et ne réclame aucune action de l’utilisateur. Ce dernier n’a donc pas à cliquer sur la publicité pour que l’exploitation commence : elle démarre quand le contenu est lu par le composant associé, ici Flash ou Silverlight.
L'internaute peut réduire la surface d'attaque
La situation permet de rappeler d’ailleurs que la protection des terminaux passe par la désinstallation de tout ce qui n’est pas nécessaire. Du moins quand cela est possible. On peut par exemple se débarrasser très facilement de composants comme Silverlight et Java, les sites l’utilisant étant devenus rarissimes.
Il n’en va pas de même pour Flash, Internet Explorer 10/11, Edge et Chrome l’intégrant même sans laisser l’utilisateur choisir s’il veut le garder ou pas. Il existe toutefois la possibilité de le désactiver, soit dans les options du côté de Microsoft, soit dans les « chrome://plugins » chez Google.
Commentaires (81)
#1
finalement un ransomware c’est juste une taxe sur la connerie.
#2
C’est pas demain la veille que je vais me débarrasser de mon bloqueur de pubs. Ce qui m’inquiète ce sont les efforts développés pour faire passer en force leurs pubs alors qu’ils ne se soucient pas le moins du monde de la sécurité. Le malvertising n’a pourtant rien de neuf.
#3
Par effet de bord, c’est bien l’utilisation renforcée des bloqueurs des publicités qui a vraisemblablement limité les dégâts.
De rien, c’est tout naturel
composants comme Silverlight et Java, les sites l’utilisant étant devenus rarissimes.
tousse boulot tousse
#4
Flash, Silverlight, Java… Comme d’hab quoi.
Flash on peut facilement s’en passer. Chez moi il est configuré sur « demander pour activer ». C’est un peu chiant, mais au final, à moins que je veuille vraiment regarder une vidéo en Flash, je le laisse toujours désactivé. Youtube marche très bien en html5, donc c’est rare que je doive activer Flash…
Comment on appelle un logiciel plein de trous et failles ? Une passware…
#5
Firefox+Ghostery+Adblock c’est efficace. Firefox désactive par défaut le flash.
#6
Adblock 1 - 0 Pubs
Depuis début décembre, sur mon pc du boulot :
#7
Mets uBlock Origin à la place et tu pourras dégager Adblock et Ghostery tout en utilisant bien moins de ressources.
" />
#8
#9
Exactement ce que je pensais… Les régies publicitaires ont toujours été des vecteurs d’infections et leur TRES mauvaise réputation vient aussi de là.
#10
Est-ce que ce que met en place NXi niveau pub le protège de ce genre de choses ?
#11
Ça donne quoi en français ?
#12
L’article reparle du ransomware qui a touché les Mac via le logiciel Transmission. Est-ce qu’on a du recul maintenant pour savoir quel a été son impact ?
#13
Mets aussi disconnect à la place de ces véreux de ghostery..et uBlock origin à la place de adblock plus.
#14
#15
tousse : c’est juste pck 
" /> c’est pas bon
" />
Bah quoi ? moi j’ai rigolé au moins c’est le principal
#16
Quel avantage d’ublock vs adblock ?
" />
En deux mots, je veux dire, la flemme d’écumer les forums
#17
Oh, encore une bonne raison de ne pas afficher de pubs du tout !
Merci adblock / noscript de me bloquer des données dont toutes ne sont pas visibles à l’oeil nu, et non liées aux sites que je fréquente.
#18
[doublon]
#19
On sait aussi qu’au moins quatre réseaux publicitaires ont été forcés : Google, AppNexus, AOL et Rubicon.
Mais Google ne diffuse pas de pub en flash/java/silverlight non ?
Et sinon, on aura droit à un beau communiqués de ces régies
#20
la pub, c’est le mal
" />
#21
#22
Ah mais là tu me parles d’AdBlock Plus,
moi j’ai Adblock, ne pas confondre :)
De quel genre d’arnaques parles-tu ?
#23
Personnellement uBlock l’expérience que j’en ai eu c’est qu’il casse pas mal de choses, j’ai pas trop d’exemples en tête mais déjà il me semblait que tout ce qui est commentaires facebook sur les sites tiers étaient foiré. Le plugin battlefield (passage par un site web + plugin pour lancement de origin) ne fonctionnait plus non plus il me semble, et plein d’autres soucis. Adblock aucun souci de ce genre.
uBlock me paraît ultra bourrin et j’ai pas trouvé le bon paramétrage (j’ai du y consacrer genre 15mn pas plus)
#24
UBlock Origin ici. 532 960 pubs bloque depuis install au 17⁄03
" />
#25
J’ai le droit de troller avec mon Firefox? :p
#26
On peut par exemple se débarrasser très facilement de composants comme Silverlight
Bien que pas nécessaire pour hotmail(outlook) ce dernier le demande régulièrement.
#27
… 1 123 965 pubs bloquées depuis son installe …
" />
" />
Certains de mes amis me baisent les pieds quand je vais chez eux, car je leur ai “amélioré leur expérience de surf” avec uOrigin …
#28
Vive les bloqueurs de pub alors…
Mais sérieusement, à part que les sites qui ont transmis l’infection sont plutôt respectables, c’est une pratique courante la publicité piégée pour infecter un PC, non ?
Je me souviens des pubs de pron sur les sites de crack à une époque reculée en modem qui causaient l’apparition d’icônes sur le bueau…
#29
Fallait pas installer la strip teaseuse sur ta barre des tâches aussi
" />
#30
Bah la publicite piege c’est le moyen reve, ta pas besoin de faire aller la victime sur un site pre infecte, tu peut juste attendre qu’elle navigue sur les sites qu’elle visite habituellement.
Donc ouai, c’est courant.
#31
Ha! j’en déduis que tu en as eu pour cher de taxe…
#32
(en français, même si ca l’était déjà)
Les régies publicitaires et leurs canaux de diffusions sont très très régulièrement infectés, je me souviens entre autre d’une très grosse attaque dans les années 2008-2009 qui exploitait les bannières de publicité flash de gros sites de jeux vidéo (. La faille avait mis plusieurs jours a être corrigée et les antivirus n’avait pas réagis à temps, seul les gens utilisant des bloqueurs avait été protégés.
De là les bloqueurs de publicité sont passé de “mieux” à “obligatoire”, ce qui me fait dire qu’il devient impératif pour les régies publicitaire d’accroitre leurs contrôles sur les contenus, sur leurs diffuseurs et leurs serveurs.
#33
roh lol je l’avais oubliée celle-là.
" />
" />
ah c’était l’bon temps.
#34
Linux aussi ça fonctionne… Ça dissuade d’utiliser Flash (version 11 complètement à la rue pour Firefox).
" />
Bon, de toute façon il n’était pas visé.
#35
#36
au vu des commentaires,
Pourquoi .. Est ce toujours sur la Victime que l’on vient Basher ?
Pourquoi ce serait ce la Faute des technologies s’il y a des En…és de Me…deux qui utilisent des moyens detournés pour faire ..Ch..er tout le monde ?
mon analogie serait : Le Pourquoi suis je obligé de mettre un anti-vole sur mon velo ?
> pourquoi n’est il pas possible de simplement poser son velo a un endroit pour ensuite revenir 2 heures 5 minutes plus tard et de le retrouver à sa place ? :(
Je pousse mon coup de gueule car parallelement a l’actualité
on ne conspue pas les gens malveillants mais la grande majorité des “autres”, simples utilisateurs
et c’est une attitude que l’on retrouve partout .. “ La victime a Tord ” “ bienfait pour la victime ”
ca devrait etre le contraire “ Brulez moi tous ces EnxxxxxéS !!! ”
/ c’etait la minute Abused
#37
#38
Firefox embarque la liste de blocage de Disconnect, voir dans about:preferences#privacy
#39
#40
Toujours aucun bloqueur de pub qui fonctionne à “l’inverse” des autres ?
C’est à dire désactivé par défaut sur tous les sites et qui au simple clic rajoute le site actuel à la liste noire ?
#41
Rien ne t’empêche de désactiver tous les listes de filtres et de te faire une liste noir perso hein.
#42
De l’utilité de µBlock
" />
" />
En tout cas, ça incite pas à naviguer sur le web sans
#43
#44
Ben test ublock. la liste banche fonctionne par site. Tu doit donc surement pouvoir avoir quelque chose d’équivalent. Il accepte aussi des règles plus complexe donc en fouillant je suis sur que tu peut obtenir le fonctionnement désiré.
#45
#46
#47
#48
Merci à Chrome d’imposer à tous par défaut d’avoir Flash dans leur browser.
Preuve d’une incompétence et irresponsabilité totale.
Ce ne serait pas grave si Chrome n’était pas devenu dans la situation de monopole actuel.
Chrome = le nouveau IE
#49
Où trouve-t-on les statistiques ?
#50
#51
Ma compagne travaille dans un centre social qui vient juste d’être touché par Locky. Pas d’antivirus sur les postes (pas de budget pour renouveler l’AV pro qu’ils avaient), et aucune sauvegarde. Résultat : 10 ans de travail perdus parce que le service info de la mairie ne veut pas payer (et ils ont raison, tant que ça paie, ça continuera)
" />
#52
“Le malvertising” : très bon ça Vincent, je ne sais pas sit ou l’as récupéré ou inventé rapidos, mais ça sonne
" />
" />
#53
Pas possible
" />
#54
#55
#56
Ah ouais 10 ans, pas de protection, et pas de sauvegarde…
Ce n’est plus traiter ça avec de la légèreté à ce niveau là, c’est que les (ir)responsables informatique s’en foutent totalement.
#57
#58
J’avoue, j’ai fait ça quand j’étais au lycée…
Je vais me cacher !
#59
#60
#61
#62
#63
#64
#65
#66
#67
#68
C’est peut-être aussi parce qu’il y a énormément de listes disponibles, et pas juste à cause d’uBlock.
Donc si tu actives toutes les listes, forcément toute l’intégration de Facebook sur les sites tiers est bloquée, par ex. via celles sous “Réseaux sociaux”.
#69
Non, ce genre d’attaque n’est pas une première du tout. Je me souviens au moins d’un précédent qui était passé sur le réseau Nexusmods (entre autres). Comme d’habitude, ça cible les failles Flash, Silverlight et Java principalement.
Malheureusement, nous en sommes rendus à ces mesures pour tenter de nous protéger :
Et mêem ça ne nous protège pas forcément vu qu’ils peuvent passer par une faille de navigateur (allo IE). Et l’antivirus ne peut pas forcément grand chose à l’affaire …
#70
Utilisateur de ublock origine je ne suis pas sûr qu’il remplace complètement ghostery. En tout cas j’utilise les deux (brettelles et ceinture)
#71
Au boulot (quelques mois) depuis toujours : 179 073
#72
Voila pourquoi je reste fidèle à Firefox (qui marche très bien, quoi qu’un en dise).
#73
Directement au clic sur le bouton Adblock dans Firefox, ça te donne le nombre de pubs bloquées.
Pour le reporting par date, je fais ça moi-même dans un post it virtuel :)
#74
Je n’ai jamais rien lu d’aussi con.
#75
#76
C’est malheureux à dire (j’aime pas l’idée de privée certain site de leurs revenu…) mais oui, utiliser ça maintenant permet d’être en sécurité sur tout les points ^^
#77
Depuis ce matin, Le Figaro floute ses articles et demande que l’on désactive son bloqueur de pubs …
" />
Je ne l’ai bien entendu pas fait et ai répondu en joignant le lien de cet article …
Quant à moi, il me reste encore Libé, Le Monde et The Guardian à lire …
#78