Les publicités maliceuses ou Malvertising sont des menaces qui existent depuis plusieurs années.
Ce dossier vous explique que sont ces menaces à travers quelques exemples de campagnes et comment les éviter.
Par le passé, cela se faisait par le piratage de site WEB, les cybercriminels pirataient un maximum de sites WEB, les internautes qui allaient sur ces sites piratés pouvaient potentiellements être infectés.
Exemple avec des campagnes de SQL Injection : LizaMoon Massive SQL injection attack : rogues/Scarewares
ou encore des malwares créés exprès pour pirater des sites WEB comme Tepfer :PSW.Win32.Tepfer – vol FTP et injection/hack de sites
Depuis des malwares plus sophistiqués ont vu le jour comme Linux/CDorked (exemple avec le site WEB generation-nt.com et darkleech).
Depuis les cybercriminels ont trouvé plus profitable de s’attaquer aux régies publicitaires en tentant de faire charger des publicités malicieuses qui ont pour but de rediriger les internautes vers du contenu malicieux. Cela permet de toucher plus facilement des gros sites dont le traffic est élevé.
Il existe deux types de malvertising :
Une malvertising peut cibler un pays en particulier, ne tourner pendant que quelques heures. En outre, on peut aussi ajouter des filtres au niveau de la publicité ou du redirecteur afin de ne rediriger qu’à partir de certaines conditions, ceci permet de filtrer les robots, antivirus et autres.
Pour rappel un exploikit est un programme qui permet de tirer partie de vulnérabilités présentes sur des logiciels installés sur l’ordinateur afin d’exécuter un fichier automatiquement par la simple visite d’un site WEB.
En général, ce sont des plugins du navigateur WEB qui sont visés.
Le schéma suivant décrit une campagne de malvertising :
Exemple de malvertising Clicksor en vidéo :
https://www.youtube.com/watch?v=h95ZaQ1du5s
https://www.youtube.com/watch?v=PRvrrL6dTfo
Vous trouverez un exemple de campagne sur la page : « TDS » ( Traffic Direction Systems ) du « Virus Gendarmerie »
Dans la même période, la régie publicitaire Clicksor envoyait aussi beaucoup de malvertising : http://www.malekal.com/?s=clicksor
En plus des Ransomware Fake Police, on trouve différent malwares comme ZeroAccess ou Zbot.
Une de ces campagnes a été active sur Piratebay : Piratebay touché par la malvertising clicksor et le virus gendarmerie
2011 à 2014 fut l’âge d’or pour ces campagnes pour plusieurs raisons :
Un nouveau type de menaces à vu le jour : Browlock Ransomware.
Ce ransomware est une simple page WEB qui bloque le navigateur WEB à l’aide de JavaScript.
Aucun malware n’est chargé sur l’ordinateur.
Ce système offre un double avantage :
Campagne de malvertising Browlock : http://www.malekal.com/2013/10/07/en-browlock-ransomware-malvertising-campaign/
Le phénomène a commencé en 2010 avec de faux bandeaux VLC et lecteurs vidéos sur les sites de streaming et a pris de l’ampleur avec de fausses mises à jour Flash et Java.
Ces fausses mises à jour ont été actives sur beaucoup de sites différents : sites de streaming pour adultes, scans manga, Torrent mais aussi des sites grands publics comme Deviant Art et Ebay ont aussi été touchés.
ou encore Dailymotion : [en] Yahoo Ads for Fake Java Update (PUP.DomaIq)
et même ici sur malekal.com via Appnexus ou Google Adense =)
Une page concernant les fausses pages Java et Flash de Décembre 2013 : Nation Zoom et fausses mises à jour Java (PUP.DomaIQ).
Le programme d’affiliation à l’origine de la majeur partie de ces campagnes est Adware.Win32.DomaIQ / SoftPulse
Voici quelques exemples de ces fausses pages Flash. Certaines reprennent le vrai logo Flash/Java et mentionnent Adobe/Oracle.
Ces publicités exploitent la méconnaissance technique de l’utilisateur qui croit avoir à faire à une vraie demande de mise à jour provenant de programmes connus.
Quelques exemples de ces campagnes sur les pages suivantes :
[fr] Fausses alertes virus Android : Publicités pourries sur tablettes/mobile Android
Mobile Malvertising : Fake Virus Alert
Les malvertising Browlock et Fake Police ont diminué en France mais reste très actives aux USA.
Pourquoi les USA ? Pour deux raisons.
La première est qu’Internet Explorer est beaucoup plus utilisé et ce derneir est beaucoup plus sensibles aux Web Exploit.
Dans le cas d’une campagne de malvertising Fake Polie, si vous utilisez IE vous serez redirigé vers Angler EK alors qu’avec Chrome, ce sera Browlock.
Aux USA, Internet Explorer est encore devant :
Alors qu’en France :
L’autre raison est « le mode Shadow », si vous n’habitez pas les
Etats-Unis, vous êtes alors obligé de passer par des VPN pour les
trouver et les faire retirer.
Or , les frameworks des malvertising sont améliorés continuellement, de plus en plus de filtres ont été ajoutés.
Le filtres de VPN commencent à devenir un standard, certains framework ne fonctionne qu’avec des plages d’IPs résidentiels.
D’autres utilisent probablement du Browser Finger ou systèmes de cache.
et les USA prennent chers, quelques exemples de ces campagnes :
Les Fake Police ont continue à taper fort.
Le site pour adulte Xhamster (qui se trouve dans le top 100) a été très touché par :
Et d’autres régies publicitaires sur les sites adultes.
Yahoo ausi : http://www.ibtimes.co.uk/huffington-post-yahoo-news-aol-tmz-hit-by-malware-ads-over-1-5bn-visitors-risk-1482651
Google DoubleClick aussi : https://blog.malwarebytes.org/malvertising-2/2014/09/googles-doubleclick-ad-network-abused-once-again-in-malvertising-attacks/
AOL Advertising : http://www.scmagazine.com/ransomware-is-being-distributed-on-huffpo-site/article/391235/
Vous ajoutez à cela des malvertising visant le mobile, toujours sur les sites adultes pour pousser du Locker Android : Index of Android Locker
Et vous pensez que c’est terminé ? et bien non, depuis quelques mois, des arnaques téléphoniques ont vu le jour : Arnaques désinfection/support par téléphone
Le principe est un peu le même que le ransomware Browlock, de fausses pages faisant croire que votre PC est infecté et demandant à téléphoner à un support téléphonique.
Ces publicités bloquent le navigateur WEB.
Vous trouverez quelques exemples sur la page : Tech Support Scam Support Malvertising
Je ne mettrai pas d’exemples de Fiddler Logs, vous en trouverez sur http://malvertising.stopmalwares.com/
Côté structure des serveurs de malvertising, on trouve un peu de tout, cela va de faux serveurs Openx à des framework spécifiques.
Afin d’empécher le blacklistage du faux serveurs de publicité, les cybercriminels multiplient les redirections.
Kovter est un bon exemple. La structure est :
Par exemple la version 9 d’Avast! n’était pas capable de blacklister une URL en HTTPs.
Entre le serveur de Malvertising Kovter et l’ExploitKit, on peut donc avoir deux domaines .pl
Les antivirus peuvent voir beaucoup de hits sur l’ExploitKit si cela touche de gros réseaux publicitaires, mais s’ils ne sont capables de remonter qu’au referer d’avant, ils ne verront qu’un domain .pl, de ce fait, ils ne seront pas capables de remonter au serveur de publicité Kovter pour la blacklister.
Donc le serveur de publicité malicieux Kovter peut rester à 0 détecter et la régie publicitaire ne rien voir.
Les Applets Flashs sont aussi très utilisées, vous trouverez quelques exemples sur les pages :
L’avantage des bannières flashs, c’est qu’il est relativement facile d’obtenir une bulle sur VirusTotal. De ce fait, on propose a bannière sur des sites ou régie qui vont scanner sur VirusTotal, aucune détection donc non malicieuse.
Dernièrement, les bannières proposées embarquent directement l’exploit kit qui va charger le binaire (Flash EK ou Nutrino EK).
Ces dernières sont proposées aux régies de publicités avec une détection de 0 sur Virustotal.
Kapersky a publié un article concernant ces Exploit.SWF : http://securelist.com/analysis/publications/69727/how-exploit-packs-are-concealed-in-a-flash-object/
Autre exemple avec les hacks.
Ci-dessous des tags Openx/Revive modifiés où un code avec une adresse quotes.js, cette dernière rdirige vers un ExploitKit.
On peut constater aussi que le tag recréé une page lim.php contenant une Backdoor PHP simple.
Ensuite vous pouvez installer Adblock ou encore mieux Blockulicious, une extension qui bloque les publicités et adresses malicieuses.
Tout ceci est expliqué sur la page : Comment Sécuriser son ordinateur ?
Pour les programmes parasites/adwares, reportez-vous au dossier suivant. Surtout activez bien les détections PUPs sur votre antivirus.
A lire – Programmes parasites / PUPs : http://www.malekal.com/2011/07/27/detection-puplpi-potentially-unwanted-program/
Ce dossier vous explique que sont ces menaces à travers quelques exemples de campagnes et comment les éviter.
Que sont les publicités malicieuses « Malvertising » ?
Lorsque des cybercriminels souhaitent lancer des campagnes pour infecter des internautes qui visent des pays en particuliers, ces derniers ont besoin de source de traffic afin de rediriger un maximum d’internautes vers le contenu malicieux.Par le passé, cela se faisait par le piratage de site WEB, les cybercriminels pirataient un maximum de sites WEB, les internautes qui allaient sur ces sites piratés pouvaient potentiellements être infectés.
Exemple avec des campagnes de SQL Injection : LizaMoon Massive SQL injection attack : rogues/Scarewares
ou encore des malwares créés exprès pour pirater des sites WEB comme Tepfer :PSW.Win32.Tepfer – vol FTP et injection/hack de sites
Depuis des malwares plus sophistiqués ont vu le jour comme Linux/CDorked (exemple avec le site WEB generation-nt.com et darkleech).
Depuis les cybercriminels ont trouvé plus profitable de s’attaquer aux régies publicitaires en tentant de faire charger des publicités malicieuses qui ont pour but de rediriger les internautes vers du contenu malicieux. Cela permet de toucher plus facilement des gros sites dont le traffic est élevé.
Il existe deux types de malvertising :
- des malvertising « redirector » qui ont pour but de rediriger l’internaute vers un web exploit kit afin de charger un malware sur l’ordinateur. La redirection est automatique aucun clic n’est nécessaire.
- Des publicités trompeuses où le but est plutôt de faire ouvrir un executable malicieux, le but est de tromper donc l’internaute pour lui faire ouvrir le contenu désiré. Exemple : une fause mises à jour Java où l’internaute croit lancer une mise à jour Java alors que le contenu est tout autre. Ces publicités tirent partie de la méconnaissance technique des internautes.
Une malvertising peut cibler un pays en particulier, ne tourner pendant que quelques heures. En outre, on peut aussi ajouter des filtres au niveau de la publicité ou du redirecteur afin de ne rediriger qu’à partir de certaines conditions, ceci permet de filtrer les robots, antivirus et autres.
Pour rappel un exploikit est un programme qui permet de tirer partie de vulnérabilités présentes sur des logiciels installés sur l’ordinateur afin d’exécuter un fichier automatiquement par la simple visite d’un site WEB.
En général, ce sont des plugins du navigateur WEB qui sont visés.
Le schéma suivant décrit une campagne de malvertising :
Click this bar to view the full image. |
https://www.youtube.com/watch?v=h95ZaQ1du5s
https://www.youtube.com/watch?v=PRvrrL6dTfo
Quelques campagnes de malvertising
2011 – 2013/2014 : Exploit WebKit
De fin 2011 à 2014, la France a été touchée par des campagnes de malvertising visant à pouser des ransomwares fake Police.Vous trouverez un exemple de campagne sur la page : « TDS » ( Traffic Direction Systems ) du « Virus Gendarmerie »
Dans la même période, la régie publicitaire Clicksor envoyait aussi beaucoup de malvertising : http://www.malekal.com/?s=clicksor
En plus des Ransomware Fake Police, on trouve différent malwares comme ZeroAccess ou Zbot.
Une de ces campagnes a été active sur Piratebay : Piratebay touché par la malvertising clicksor et le virus gendarmerie
2011 à 2014 fut l’âge d’or pour ces campagnes pour plusieurs raisons :
- Un exploitKit très performant du nom de BlackHole a vu le jour. Les antivirus était relativement dépassés.
- Adobe PDF puis Adoble Flash et enfin Java furent visés au niveau des vulnérabilités. Adobe a pris des mesures puis au tour d’Oracle afin de renforcer la sécurité de ses programmes. Voir par exemple les billets :
- Les navigateurs WEB ont ensuite, à leur tour, renforcer la sécurité en désactivant les plugins non à jour et en intégrant des blacklists d’URLs, par exemple avec Google SafeBrowsing pour Firefox et Google Chrome.
> 2013 : Browlock Ransomware
Les mesures prises pour renforcer la sécurité ayant eu quelques effets, l’arrestation du développeur de l’Exploit Kit BlackHole aussi.Un nouveau type de menaces à vu le jour : Browlock Ransomware.
Ce ransomware est une simple page WEB qui bloque le navigateur WEB à l’aide de JavaScript.
Aucun malware n’est chargé sur l’ordinateur.
Ce système offre un double avantage :
- Pas de malware, moins de chance que les antivirus détectent un élément malicieux, bien qu’ils peuvent détecter la page HTML.
- Etant une page WEB, on peut viser tous les systèmes d’exploitation et toucher un maximum d’internautes. La page fonctionnera sur Linux ou Mac, contrairement aux web exploitkits qui ne fonctionnent eux que pour Windows.
Click this bar to view the full image. |
2013 : Explosion des adwares et PUP via fausses mises à jour Flash et Java
Depuis Juillet 2014, une explosion des adwares et pogrammes parasites (PUPs).Le phénomène a commencé en 2010 avec de faux bandeaux VLC et lecteurs vidéos sur les sites de streaming et a pris de l’ampleur avec de fausses mises à jour Flash et Java.
Ces fausses mises à jour ont été actives sur beaucoup de sites différents : sites de streaming pour adultes, scans manga, Torrent mais aussi des sites grands publics comme Deviant Art et Ebay ont aussi été touchés.
ou encore Dailymotion : [en] Yahoo Ads for Fake Java Update (PUP.DomaIq)
et même ici sur malekal.com via Appnexus ou Google Adense =)
Une page concernant les fausses pages Java et Flash de Décembre 2013 : Nation Zoom et fausses mises à jour Java (PUP.DomaIQ).
Le programme d’affiliation à l’origine de la majeur partie de ces campagnes est Adware.Win32.DomaIQ / SoftPulse
Voici quelques exemples de ces fausses pages Flash. Certaines reprennent le vrai logo Flash/Java et mentionnent Adobe/Oracle.
Ces publicités exploitent la méconnaissance technique de l’utilisateur qui croit avoir à faire à une vraie demande de mise à jour provenant de programmes connus.
Click this bar to view the full image. |
Click this bar to view the full image. |
Click this bar to view the full image. |
2014 : Fausses Alertes Virus sur Mobile
2014 a vu aussi de nouvelles publicités visant les mobiles. Le but est d’afficher de fausses alertes de virus pour vous faire installer des logiciels de nettoyage.Quelques exemples de ces campagnes sur les pages suivantes :
[fr] Fausses alertes virus Android : Publicités pourries sur tablettes/mobile Android
Mobile Malvertising : Fake Virus Alert
Click this bar to view the full image. |
Click this bar to view the full image. |
2015 : Mode Shadow et USA ciblé
En France, les malvertising fake Java/Flash et Browlock/Fake Police ont beaucoup diminué.Les malvertising Browlock et Fake Police ont diminué en France mais reste très actives aux USA.
Pourquoi les USA ? Pour deux raisons.
La première est qu’Internet Explorer est beaucoup plus utilisé et ce derneir est beaucoup plus sensibles aux Web Exploit.
Dans le cas d’une campagne de malvertising Fake Polie, si vous utilisez IE vous serez redirigé vers Angler EK alors qu’avec Chrome, ce sera Browlock.
Aux USA, Internet Explorer est encore devant :
Click this bar to view the full image. |
Alors qu’en France :
Click this bar to view the full image. |
Or , les frameworks des malvertising sont améliorés continuellement, de plus en plus de filtres ont été ajoutés.
Le filtres de VPN commencent à devenir un standard, certains framework ne fonctionne qu’avec des plages d’IPs résidentiels.
D’autres utilisent probablement du Browser Finger ou systèmes de cache.
et les USA prennent chers, quelques exemples de ces campagnes :
- CryptoWall via first-impress.com (Engage:BDR), cette a fait tourner
des malvertising pendant plusieurs mois redirigeant vers Hanjuan EK. Des
sites comme DailyMotion ont été touchés :
- http://malware.dontneedcoffee.com/2015/02/cve-2015-0313-flash-up-to-1600296-and.html
- http://blog.trendmicro.com/trendlabs-security-intelligence/flashpack-exploit-kit-used-in-free-ads-leads-to-malware-delivery-mechanism/
- https://blog.malwarebytes.org/exploits-2/2015/03/hanjuan-eks-march-madness-malvertising-campaign/
Les Fake Police ont continue à taper fort.
Le site pour adulte Xhamster (qui se trouve dans le top 100) a été très touché par :
- des malvertising Kovter qui ont tourné pendant environ 1 an.
- Piratage et quelques campagnes Angler EK poussant du Urausy ou Reveton.
Et d’autres régies publicitaires sur les sites adultes.
Yahoo ausi : http://www.ibtimes.co.uk/huffington-post-yahoo-news-aol-tmz-hit-by-malware-ads-over-1-5bn-visitors-risk-1482651
Google DoubleClick aussi : https://blog.malwarebytes.org/malvertising-2/2014/09/googles-doubleclick-ad-network-abused-once-again-in-malvertising-attacks/
AOL Advertising : http://www.scmagazine.com/ransomware-is-being-distributed-on-huffpo-site/article/391235/
Vous ajoutez à cela des malvertising visant le mobile, toujours sur les sites adultes pour pousser du Locker Android : Index of Android Locker
Et vous pensez que c’est terminé ? et bien non, depuis quelques mois, des arnaques téléphoniques ont vu le jour : Arnaques désinfection/support par téléphone
Le principe est un peu le même que le ransomware Browlock, de fausses pages faisant croire que votre PC est infecté et demandant à téléphoner à un support téléphonique.
Ces publicités bloquent le navigateur WEB.
Vous trouverez quelques exemples sur la page : Tech Support Scam Support Malvertising
Click this bar to view the full image. |
Click this bar to view the full image. |
Quelques commentaires côté technique
Voici quelques exemples de redirections de malvertising du point de vue technique.Je ne mettrai pas d’exemples de Fiddler Logs, vous en trouverez sur http://malvertising.stopmalwares.com/
Côté structure des serveurs de malvertising, on trouve un peu de tout, cela va de faux serveurs Openx à des framework spécifiques.
Afin d’empécher le blacklistage du faux serveurs de publicité, les cybercriminels multiplient les redirections.
Kovter est un bon exemple. La structure est :
- Régie publicitaire légitime
- Server Malvertising Kovter (en HTTPs), un service HTTPs comme worldssl.net peut être utilisé entre la régie légitime et le serveur Malvertising Kovter. CE dernier peut changer tous les un ou deux jours.
- Un ou deux redirecteur avec un domaine en .pl qui changent toutes les heures.
- ExploitKits.
Par exemple la version 9 d’Avast! n’était pas capable de blacklister une URL en HTTPs.
Entre le serveur de Malvertising Kovter et l’ExploitKit, on peut donc avoir deux domaines .pl
Les antivirus peuvent voir beaucoup de hits sur l’ExploitKit si cela touche de gros réseaux publicitaires, mais s’ils ne sont capables de remonter qu’au referer d’avant, ils ne verront qu’un domain .pl, de ce fait, ils ne seront pas capables de remonter au serveur de publicité Kovter pour la blacklister.
Donc le serveur de publicité malicieux Kovter peut rester à 0 détecter et la régie publicitaire ne rien voir.
Les Applets Flashs sont aussi très utilisées, vous trouverez quelques exemples sur les pages :
- [TECH] Animations flash malveillantes (malvertising)
- [en] qweentits.org Malvertising and malicious SWF
- redir.ballysbs.com malvertising (fake 888poker.fr)
- [en] W32/Boaxxe by SWF Redirector
L’avantage des bannières flashs, c’est qu’il est relativement facile d’obtenir une bulle sur VirusTotal. De ce fait, on propose a bannière sur des sites ou régie qui vont scanner sur VirusTotal, aucune détection donc non malicieuse.
Dernièrement, les bannières proposées embarquent directement l’exploit kit qui va charger le binaire (Flash EK ou Nutrino EK).
Ces dernières sont proposées aux régies de publicités avec une détection de 0 sur Virustotal.
Kapersky a publié un article concernant ces Exploit.SWF : http://securelist.com/analysis/publications/69727/how-exploit-packs-are-concealed-in-a-flash-object/
Autre exemple avec les hacks.
Ci-dessous des tags Openx/Revive modifiés où un code avec une adresse quotes.js, cette dernière rdirige vers un ExploitKit.
On peut constater aussi que le tag recréé une page lim.php contenant une Backdoor PHP simple.
Click this bar to view the full image. |
Comment éviter les malvertising ?
Dans un premier temps, il convient de ne pas être vulnérable aux ExploitKit en tenant vos programmes à jour.Ensuite vous pouvez installer Adblock ou encore mieux Blockulicious, une extension qui bloque les publicités et adresses malicieuses.
Tout ceci est expliqué sur la page : Comment Sécuriser son ordinateur ?
Pour les programmes parasites/adwares, reportez-vous au dossier suivant. Surtout activez bien les détections PUPs sur votre antivirus.
A lire – Programmes parasites / PUPs : http://www.malekal.com/2011/07/27/detection-puplpi-potentially-unwanted-program/
Souirce.: