Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

De grands sites ont diffusé un ransomware via des publicités contaminées

Flash et Silverlight aux premières loges
Internet 4 min
De grands sites ont diffusé un ransomware via des publicités contaminées
Crédits : Yurchello108/iStock

Un ransomware a pu être diffusé sur un nombre indéterminé de machines durant un court laps de temps en début de semaine. La menace s'est répandue via des réseaux publicitaires qui avaient été contaminés. Si l'attaque a été jugulée, elle repose la question des failles exploitées dans Flash et d'autres modules souvent non mis à jour.

Plusieurs réseaux publicitaires ont été victimes d’une injection de malware (malvertising). Des sites aussi connus et fréquentés que ceux du New York Times, de la BBC, MSN, et AOL ont servi de relais malheureux, les victimes récupérant alors un ransomware en cas de conditions réunies.

C’est un billet de blog de l’éditeur Trend Micro qui a averti du problème. La société de sécurité y indique que la contamination a commencé la semaine dernière. Au cœur du mécanisme, on trouve Angler Exploit Kit, rassemblant des méthodes d’exploitations de nombreuses failles dans Flash, Silverlight et d’autres logiciels largement répandus. Objectif : trouver un point d’ancrage sur une machine qui ne contiendrait pas les dernières révisions.

Des contenus conçus pour éviter les outils de sécurité

Les publicités contaminées ont été servies sur des sites à très large audience, maximisant ainsi le risque. Par effet de bord, c’est bien l’utilisation renforcée des bloqueurs des publicités qui a vraisemblablement limité les dégâts. Mais selon Trend Micro, en seulement 24h de dimanche à lundi, des milliers de machines ont été exposées à ces publicités vérolées. Le nombre de contamination est cependant inconnu, même si l’attaque a été jugulée.

Selon les SpiderLabs de Trustwave, les publicités sont accompagnées par plusieurs fichiers, dont un de type JSON. Ce dernier contient notamment plus de 12 000 lignes de code en grande partie masquées. Les chercheurs ont pu en déchiffrer une majorité, mettant ainsi au jour une longue liste de produits de sécurité que le malware cherche à éviter pour rester, évidemment, indétecté par ce type d’agent.

Trustwave explique que dans le cas où le code passe en arrivant à rester caché, il crée un élément iFrame dans le corps HTML de la page web, dans lequel le contenu contaminé va s’afficher. La suite dépend de la configuration logicielle de la machine de l’internaute. Si l’une des failles peut être exploitée, il y a exécution de code à distance et installation d’un ransomware. De là, on retrouve les conséquences classiques de ce type de malware : chiffrement des données personnelles et demande d’une rançon pour en retrouver l’accès.

De grands réseaux contaminés

C’est l’éditeur Malwarebytes qui est intervenu le dernier, ajoutant plusieurs informations importantes. On apprend ainsi que les sites my.xfinity.com, nfl.com, realtor.com, theweathernetwork.com, thehill.com et newsweek.com ont eux aussi été victimes de l’attaque. Deux domaines ont été mis en place par les pirates : trackmytraffic.biz et talk915.pw. On sait aussi qu’au moins quatre réseaux publicitaires ont été forcés : Google, AppNexus, AOL et Rubicon.

Il semble également que les sites ayant servi de relais malgré eux aient reçu le malware depuis des domaines associés aux réseaux publicitaires contaminés. Le plus souvent rencontré est brentsmedia.com, dont le whois indique qu’il était enregistré par une société de marketing jusqu’au 1er janvier. Il n’a été repris par l’actuel propriétaire que le 6 mars, soit la veille du début de l’attaque sur les réseaux.

Une méthode très efficace d'infection

Reste que l’on manque actuellement d’informations sur l’ampleur de la contamination, la manière dont les réseaux ont réagi, le nombre de victimes ou encore les caractéristiques précises du ransomware. Malwarebytes a cependant indiqué que ce dernier contenait visiblement au moins une partie de TeslaCrypt, qui ne fonctionne que sous Windows. A priori, la menace ne serait donc effective que sur le système de Microsoft, laissant les autres tranquilles. Comme on a pu le voir cependant avec l’infection du client BitTorrent Transmission, la menace rode désormais aussi pour les Mac.

Malwarebytes précise par ailleurs que toutes les entreprises impliquées d’une manière ou d’une autre ont été contactées durant le week-end, et que de plus amples informations seront publiées quand la situation sera plus claire. On rappellera dans tous les cas que pour les pirates, cette méthode est particulièrement efficace. Le malvertising s’appuie en effet sur l’affichage d’un contenu et ne réclame aucune action de l’utilisateur. Ce dernier n’a donc pas à cliquer sur la publicité pour que l’exploitation commence : elle démarre quand le contenu est lu par le composant associé, ici Flash ou Silverlight.

L'internaute peut réduire la surface d'attaque

La situation permet de rappeler d’ailleurs que la protection des terminaux passe par la désinstallation de tout ce qui n’est pas nécessaire. Du moins quand cela est possible. On peut par exemple se débarrasser très facilement de composants comme Silverlight et Java, les sites l’utilisant étant devenus rarissimes.

Il n’en va pas de même pour Flash, Internet Explorer 10/11, Edge et Chrome l’intégrant même sans laisser l’utilisateur choisir s’il veut le garder ou pas. Il existe toutefois la possibilité de le désactiver, soit dans les options du côté de Microsoft, soit dans les « chrome://plugins » chez Google.

81 commentaires
Avatar de picatrix INpactien
Avatar de picatrixpicatrix- 17/03/16 à 14:36:29

finalement un ransomware c'est juste une taxe sur la connerie.

Avatar de Inny Abonné
Avatar de InnyInny- 17/03/16 à 14:37:37

C'est pas demain la veille que je vais me débarrasser de mon bloqueur de pubs. Ce qui m'inquiète ce sont les efforts développés pour faire passer en force leurs pubs alors qu'ils ne se soucient pas le moins du monde de la sécurité. Le malvertising n'a pourtant rien de neuf.

Édité par Inny le 17/03/2016 à 14:38
Avatar de CUlater INpactien
Avatar de CUlaterCUlater- 17/03/16 à 14:37:42

Par effet de bord, c’est bien l’utilisation renforcée des bloqueurs des publicités qui a vraisemblablement limité les dégâts.
De rien, c'est tout naturel :fumer:

composants comme Silverlight et Java, les sites l’utilisant étant devenus rarissimes.
*tousse* boulot *tousse*

Avatar de Konrad INpactien
Avatar de KonradKonrad- 17/03/16 à 14:44:33

Flash, Silverlight, Java... Comme d'hab quoi.

Flash on peut facilement s'en passer. Chez moi il est configuré sur « demander pour activer ». C'est un peu chiant, mais au final, à moins que je veuille vraiment regarder une vidéo en Flash, je le laisse toujours désactivé. Youtube marche très bien en html5, donc c'est rare que je doive activer Flash...

Comment on appelle un logiciel plein de trous et failles ? Une passware...

Avatar de sat57 INpactien
Avatar de sat57sat57- 17/03/16 à 14:46:20

Firefox+Ghostery+Adblock c'est efficace. Firefox désactive par défaut le flash.

Avatar de ratapon Abonné
Avatar de rataponratapon- 17/03/16 à 14:46:38

Adblock 1 - 0 Pubs

Depuis début décembre, sur mon pc du boulot :

  • Au 04/03 : 29977 pubs bloquée
  • Au 17/03 : 34050 pubs bloquées
Avatar de Inny Abonné
Avatar de InnyInny- 17/03/16 à 14:49:39

Mets uBlock Origin à la place et tu pourras dégager Adblock et Ghostery tout en utilisant bien moins de ressources. :yes:

Avatar de jeje07bis INpactien
Avatar de jeje07bisjeje07bis- 17/03/16 à 15:00:57

ratapon a écrit :

Adblock 1 - 0 Pubs

Depuis début décembre, sur mon pc du boulot :

  • Au 04/03 : 29977 pubs bloquée
  • Au 17/03 : 34050 pubs bloquées

sat57 a écrit :

Firefox+Ghostery+Adblock c'est efficace. Firefox désactive par défaut le flash.

Conseil : remplace adblock par ublock

Avatar de XMalek INpactien
Avatar de XMalekXMalek- 17/03/16 à 15:01:30

Exactement ce que je pensais... Les régies publicitaires ont toujours été des vecteurs d'infections et leur TRES mauvaise réputation vient aussi de là.

Avatar de Fabz31 Abonné
Avatar de Fabz31Fabz31- 17/03/16 à 15:04:46

Est-ce que ce que met en place NXi niveau pub le protège de ce genre de choses ?

Il n'est plus possible de commenter cette actualité.
Page 1 / 9
  • Introduction
  • Des contenus conçus pour éviter les outils de sécurité
  • De grands réseaux contaminés
  • Une méthode très efficace d'infection
  • L'internaute peut réduire la surface d'attaque
S'abonner à partir de 3,75 €