Un ransomware a pu être diffusé sur un nombre indéterminé de machines durant un court laps de temps en début de semaine. La menace s'est répandue via des réseaux publicitaires qui avaient été contaminés. Si l'attaque a été jugulée, elle repose la question des failles exploitées dans Flash et d'autres modules souvent non mis à jour.
Plusieurs réseaux publicitaires ont été victimes d’une injection de malware (malvertising). Des sites aussi connus et fréquentés que ceux du New York Times, de la BBC, MSN, et AOL ont servi de relais malheureux, les victimes récupérant alors un ransomware en cas de conditions réunies.
C’est un billet de blog de l’éditeur Trend Micro qui a averti du problème. La société de sécurité y indique que la contamination a commencé la semaine dernière. Au cœur du mécanisme, on trouve Angler Exploit Kit, rassemblant des méthodes d’exploitations de nombreuses failles dans Flash, Silverlight et d’autres logiciels largement répandus. Objectif : trouver un point d’ancrage sur une machine qui ne contiendrait pas les dernières révisions.
Des contenus conçus pour éviter les outils de sécurité
Les publicités contaminées ont été servies sur des sites à très large audience, maximisant ainsi le risque. Par effet de bord, c’est bien l’utilisation renforcée des bloqueurs des publicités qui a vraisemblablement limité les dégâts. Mais selon Trend Micro, en seulement 24h de dimanche à lundi, des milliers de machines ont été exposées à ces publicités vérolées. Le nombre de contamination est cependant inconnu, même si l’attaque a été jugulée.
Selon les SpiderLabs de Trustwave, les publicités sont accompagnées par plusieurs fichiers, dont un de type JSON. Ce dernier contient notamment plus de 12 000 lignes de code en grande partie masquées. Les chercheurs ont pu en déchiffrer une majorité, mettant ainsi au jour une longue liste de produits de sécurité que le malware cherche à éviter pour rester, évidemment, indétecté par ce type d’agent.
Trustwave explique que dans le cas où le code passe en arrivant à rester caché, il crée un élément iFrame dans le corps HTML de la page web, dans lequel le contenu contaminé va s’afficher. La suite dépend de la configuration logicielle de la machine de l’internaute. Si l’une des failles peut être exploitée, il y a exécution de code à distance et installation d’un ransomware. De là, on retrouve les conséquences classiques de ce type de malware : chiffrement des données personnelles et demande d’une rançon pour en retrouver l’accès.
De grands réseaux contaminés
C’est l’éditeur Malwarebytes qui est intervenu le dernier, ajoutant plusieurs informations importantes. On apprend ainsi que les sites my.xfinity.com, nfl.com, realtor.com, theweathernetwork.com, thehill.com et newsweek.com ont eux aussi été victimes de l’attaque. Deux domaines ont été mis en place par les pirates : trackmytraffic.biz et talk915.pw. On sait aussi qu’au moins quatre réseaux publicitaires ont été forcés : Google, AppNexus, AOL et Rubicon.
Il semble également que les sites ayant servi de relais malgré eux aient reçu le malware depuis des domaines associés aux réseaux publicitaires contaminés. Le plus souvent rencontré est brentsmedia.com, dont le whois indique qu’il était enregistré par une société de marketing jusqu’au 1er janvier. Il n’a été repris par l’actuel propriétaire que le 6 mars, soit la veille du début de l’attaque sur les réseaux.
Une méthode très efficace d'infection
Reste que l’on manque actuellement d’informations sur l’ampleur de la contamination, la manière dont les réseaux ont réagi, le nombre de victimes ou encore les caractéristiques précises du ransomware. Malwarebytes a cependant indiqué que ce dernier contenait visiblement au moins une partie de TeslaCrypt, qui ne fonctionne que sous Windows. A priori, la menace ne serait donc effective que sur le système de Microsoft, laissant les autres tranquilles. Comme on a pu le voir cependant avec l’infection du client BitTorrent Transmission, la menace rode désormais aussi pour les Mac.
Malwarebytes précise par ailleurs que toutes les entreprises impliquées d’une manière ou d’une autre ont été contactées durant le week-end, et que de plus amples informations seront publiées quand la situation sera plus claire. On rappellera dans tous les cas que pour les pirates, cette méthode est particulièrement efficace. Le malvertising s’appuie en effet sur l’affichage d’un contenu et ne réclame aucune action de l’utilisateur. Ce dernier n’a donc pas à cliquer sur la publicité pour que l’exploitation commence : elle démarre quand le contenu est lu par le composant associé, ici Flash ou Silverlight.
L'internaute peut réduire la surface d'attaque
La situation permet de rappeler d’ailleurs que la protection des terminaux passe par la désinstallation de tout ce qui n’est pas nécessaire. Du moins quand cela est possible. On peut par exemple se débarrasser très facilement de composants comme Silverlight et Java, les sites l’utilisant étant devenus rarissimes.
Il n’en va pas de même pour Flash, Internet Explorer 10/11, Edge et Chrome l’intégrant même sans laisser l’utilisateur choisir s’il veut le garder ou pas. Il existe toutefois la possibilité de le désactiver, soit dans les options du côté de Microsoft, soit dans les « chrome://plugins » chez Google.
