Les publicités maliceuses ou Malvertising sont des menaces qui existent depuis plusieurs années.
Ce dossier vous explique que sont ces menaces à travers quelques exemples de campagnes et comment les éviter.
Que sont les publicités malicieuses « Malvertising » ?
Lorsque des cybercriminels souhaitent lancer des campagnes pour
infecter des internautes qui visent des pays en particuliers, ces
derniers ont besoin de source de traffic afin de rediriger un maximum
d’internautes vers le contenu malicieux.
Par le passé, cela se faisait par le piratage de site WEB, les
cybercriminels pirataient un maximum de sites WEB, les internautes qui
allaient sur ces sites piratés pouvaient potentiellements être infectés.
Exemple avec des campagnes de SQL Injection :
LizaMoon Massive SQL injection attack : rogues/Scarewares
ou encore des malwares créés exprès pour pirater des sites WEB comme Tepfer :
PSW.Win32.Tepfer – vol FTP et injection/hack de sites
Depuis des malwares plus sophistiqués ont vu le jour comme
Linux/CDorked (exemple avec le site WEB
generation-nt.com et darkleech).
Depuis les cybercriminels ont trouvé plus profitable de s’attaquer
aux régies publicitaires en tentant de faire charger des publicités
malicieuses qui ont pour but de rediriger les internautes vers du
contenu malicieux. Cela permet de toucher plus facilement des gros sites
dont le traffic est élevé.
Il existe deux types de malvertising :
- des malvertising « redirector » qui ont pour but de rediriger l’internaute vers un web exploit kit afin de charger un malware sur l’ordinateur. La redirection est automatique aucun clic n’est nécessaire.
- Des publicités trompeuses où le but est plutôt de faire ouvrir un
executable malicieux, le but est de tromper donc l’internaute pour lui
faire ouvrir le contenu désiré. Exemple : une fause mises à jour Java où
l’internaute croit lancer une mise à jour Java alors que le contenu est
tout autre. Ces publicités tirent partie de la méconnaissance technique
des internautes.
En plus de permettre de toucher beaucoup d’internautes, les
malvertising sont plus difficile à détecter que des piratages. Un
piratage modifiant le contenu d’un site WEB, il est relativement facile
de détecter des modifications anormales d’un certaines nombre de sites
WEB avec un contenu assez identique.
Une malvertising peut cibler un pays en particulier, ne tourner
pendant que quelques heures. En outre, on peut aussi ajouter des filtres
au niveau de la publicité ou du redirecteur afin de ne rediriger qu’à
partir de certaines conditions, ceci permet de filtrer les robots,
antivirus et autres.
Pour rappel un exploikit est un programme qui permet de tirer partie
de vulnérabilités présentes sur des logiciels installés sur l’ordinateur
afin d’exécuter un fichier automatiquement par la simple visite d’un
site WEB.
En général, ce sont des plugins du navigateur WEB qui sont visés.
Le schéma suivant décrit une campagne de malvertising :
 | Click this bar to view the full image. |
Exemple de malvertising Clicksor en vidéo :
https://www.youtube.com/watch?v=h95ZaQ1du5s
https://www.youtube.com/watch?v=PRvrrL6dTfo
Quelques campagnes de malvertising
2011 – 2013/2014 : Exploit WebKit
De fin 2011 à 2014, la France a été touchée par des campagnes de malvertising visant à pouser
des ransomwares fake Police.
Vous trouverez un exemple de campagne sur la page :
« TDS » ( Traffic Direction Systems ) du « Virus Gendarmerie »
Dans la même période, la régie publicitaire Clicksor envoyait aussi beaucoup de malvertising :
http://www.malekal.com/?s=clicksor
En plus des Ransomware Fake Police, on trouve différent malwares comme ZeroAccess ou Zbot.
Une de ces campagnes a été active sur Piratebay :
Piratebay touché par la malvertising clicksor et le virus gendarmerie
2011 à 2014 fut l’âge d’or pour ces campagnes pour plusieurs raisons :
- Un exploitKit très performant du nom de BlackHole a vu le jour. Les antivirus était relativement dépassés.
- Adobe PDF puis Adoble Flash et enfin Java furent visés au niveau des
vulnérabilités. Adobe a pris des mesures puis au tour d’Oracle afin de
renforcer la sécurité de ses programmes. Voir par exemple les billets :
- Les navigateurs WEB ont ensuite, à leur tour, renforcer la sécurité
en désactivant les plugins non à jour et en intégrant des blacklists
d’URLs, par exemple avec Google SafeBrowsing pour Firefox et Google Chrome.
Pour ces campagnes de malvertising, la thématique des sites visités
sont surtout des sites de streaming (téléchargement illégal de film) et
sites pour adultes.
> 2013 : Browlock Ransomware
Les mesures prises pour renforcer la sécurité ayant eu quelques
effets, l’arrestation du développeur de l’Exploit Kit BlackHole aussi.
Un nouveau type de menaces à vu le jour :
Browlock Ransomware.
Ce ransomware est une simple page WEB qui bloque le navigateur WEB à l’aide de JavaScript.
Aucun malware n’est chargé sur l’ordinateur.
Ce système offre un double avantage :
- Pas de malware, moins de chance que les antivirus détectent un élément malicieux, bien qu’ils peuvent détecter la page HTML.
- Etant une page WEB, on peut viser tous les systèmes d’exploitation
et toucher un maximum d’internautes. La page fonctionnera sur Linux ou
Mac, contrairement aux web exploitkits qui ne fonctionnent eux que pour
Windows.
Exemple de page Browlock Ransomware :
| Click this bar to view the full image. |
Campagne de malvertising Browlock :
http://www.malekal.com/2013/10/07/en-browlock-ransomware-malvertising-campaign/
2013 : Explosion des adwares et PUP via fausses mises à jour Flash et Java
Depuis Juillet 2014, une explosion
des adwares et pogrammes parasites (PUPs).
Le phénomène a commencé en 2010 avec
de faux bandeaux VLC et lecteurs vidéos sur les sites de streaming et a pris de l’ampleur avec de fausses mises à jour Flash et Java.
Ces fausses mises à jour ont été actives sur beaucoup de sites
différents : sites de streaming pour adultes, scans manga, Torrent mais
aussi des sites grands publics comme
Deviant Art et Ebay ont aussi été touchés.
ou encore Dailymotion :
[en] Yahoo Ads for Fake Java Update (PUP.DomaIq)
et même ici sur malekal.com via Appnexus ou Google Adense =)
Une page concernant les fausses pages Java et Flash de Décembre 2013 :
Nation Zoom et fausses mises à jour Java (PUP.DomaIQ).
Le programme d’affiliation à l’origine de la majeur partie de ces campagnes est
Adware.Win32.DomaIQ / SoftPulse
Voici quelques exemples de ces fausses pages Flash. Certaines reprennent le vrai logo Flash/Java et mentionnent Adobe/Oracle.
Ces publicités exploitent la méconnaissance technique de
l’utilisateur qui croit avoir à faire à une vraie demande de mise à jour
provenant de programmes connus.
| Click this bar to view the full image. |
| Click this bar to view the full image. |
| Click this bar to view the full image. |
2014 : Fausses Alertes Virus sur Mobile
2014 a vu aussi de nouvelles publicités visant les mobiles. Le but
est d’afficher de fausses alertes de virus pour vous faire installer des
logiciels de nettoyage.
Quelques exemples de ces campagnes sur les pages suivantes :
[fr] Fausses alertes virus Android : Publicités pourries sur tablettes/mobile Android
Mobile Malvertising : Fake Virus Alert
| Click this bar to view the full image. |
| Click this bar to view the full image. |
2015 : Mode Shadow et USA ciblé
En France, les malvertising fake Java/Flash et Browlock/Fake Police ont beaucoup diminué.
Les malvertising Browlock et Fake Police ont diminué en France mais reste très actives aux USA.
Pourquoi les USA ? Pour deux raisons.
La première est qu’Internet Explorer est beaucoup plus utilisé et ce derneir est beaucoup plus sensibles aux Web Exploit.
Dans le cas d’une campagne de malvertising Fake Polie, si vous
utilisez IE vous serez redirigé vers Angler EK alors qu’avec Chrome, ce
sera Browlock.
Aux USA, Internet Explorer est encore devant :
| Click this bar to view the full image. |
Alors qu’en France :
| Click this bar to view the full image. |
L’autre raison est « le mode Shadow », si vous n’habitez pas les
Etats-Unis, vous êtes alors obligé de passer par des VPN pour les
trouver et les faire retirer.
Or , les frameworks des malvertising sont améliorés continuellement, de plus en plus de filtres ont été ajoutés.
Le filtres de VPN commencent à devenir un standard, certains framework ne fonctionne qu’avec des plages d’IPs résidentiels.
D’autres utilisent probablement du Browser Finger ou systèmes de cache.
et les USA prennent chers, quelques exemples de ces campagnes :
- CryptoWall via first-impress.com (Engage:BDR), cette a fait tourner
des malvertising pendant plusieurs mois redirigeant vers Hanjuan EK. Des
sites comme DailyMotion ont été touchés :
On comprend pourquoi
Cryptowall a dépassé les 600 000 PC infectés en quelques mois.
Les Fake Police ont continue à taper fort.
Le site pour adulte Xhamster (qui se trouve dans
le top 100) a été très touché par :
De même pour
PornerBros qui est régulièrment touché (et la régie de publicité Adxpansion).
Et d’autres régies publicitaires sur les sites adultes.
Yahoo ausi :
http://www.ibtimes.co.uk/huffington-post-yahoo-news-aol-tmz-hit-by-malware-ads-over-1-5bn-visitors-risk-1482651
Google DoubleClick aussi :
https://blog.malwarebytes.org/malvertising-2/2014/09/googles-doubleclick-ad-network-abused-once-again-in-malvertising-attacks/
AOL Advertising :
http://www.scmagazine.com/ransomware-is-being-distributed-on-huffpo-site/article/391235/
Vous ajoutez à cela des malvertising visant le mobile, toujours sur les sites adultes pour pousser du Locker Android :
Index of Android Locker
Et vous pensez que c’est terminé ? et bien non, depuis quelques mois, des arnaques téléphoniques ont vu le jour :
Arnaques désinfection/support par téléphone
Le principe est un peu le même que le ransomware Browlock, de fausses
pages faisant croire que votre PC est infecté et demandant à téléphoner
à un support téléphonique.
Ces publicités bloquent le navigateur WEB.
Vous trouverez quelques exemples sur la page :
Tech Support Scam Support Malvertising
| Click this bar to view the full image. |
| Click this bar to view the full image. |
Quelques commentaires côté technique
Voici quelques exemples de redirections de malvertising du point de vue technique.
Je ne mettrai pas d’exemples de Fiddler Logs, vous en trouverez sur
http://malvertising.stopmalwares.com/
Côté structure des serveurs de malvertising, on trouve un peu de
tout, cela va de faux serveurs Openx à des framework spécifiques.
Afin d’empécher le blacklistage du faux serveurs de publicité, les cybercriminels multiplient les redirections.
Kovter est un bon exemple. La structure est :
- Régie publicitaire légitime
- Server Malvertising Kovter (en HTTPs), un service HTTPs comme
worldssl.net peut être utilisé entre la régie légitime et le serveur
Malvertising Kovter. CE dernier peut changer tous les un ou deux jours.
- Un ou deux redirecteur avec un domaine en .pl qui changent toutes les heures.
- ExploitKits.
Déjà, le serveur Kovter est en HTTPs, les client antivirus qui ne
sont pas capables d’analyser le flux HTTPs peuvent être à la rue.
Par exemple la version 9 d’Avast! n’était pas capable de blacklister une URL en HTTPs.
Entre le serveur de Malvertising Kovter et l’ExploitKit, on peut donc avoir deux domaines .pl
Les antivirus peuvent voir beaucoup de hits sur l’ExploitKit si cela
touche de gros réseaux publicitaires, mais s’ils ne sont capables de
remonter qu’au referer d’avant, ils ne verront qu’un domain .pl, de ce
fait, ils ne seront pas capables de remonter au serveur de publicité
Kovter pour la blacklister.
Donc le serveur de publicité malicieux Kovter peut rester à 0 détecter et la régie publicitaire ne rien voir.
Les Applets Flashs sont aussi très utilisées, vous trouverez quelques exemples sur les pages :
De même, ils sont devenus de plus en plus sophistiqués, à la base la
redirection vers le TDS se faisait dans l’Action Script, puis l’URL du
TDS a été offusqués dans du contenu binaire déoffusqué à partir de
l’AcionScript qui créé l’iframe.
L’avantage des bannières flashs, c’est qu’il est relativement facile
d’obtenir une bulle sur VirusTotal. De ce fait, on propose a bannière
sur des sites ou régie qui vont scanner sur VirusTotal, aucune détection
donc non malicieuse.
Dernièrement, les bannières proposées embarquent directement l’exploit kit qui va charger le binaire (Flash EK ou Nutrino EK).
Ces dernières sont proposées aux régies de publicités avec une détection de 0 sur Virustotal.
Kapersky a publié un article concernant ces
Exploit.SWF :
http://securelist.com/analysis/publications/69727/how-exploit-packs-are-concealed-in-a-flash-object/
Autre exemple avec les hacks.
Ci-dessous des tags Openx/Revive modifiés où un code avec une adresse quotes.js, cette dernière rdirige vers un ExploitKit.
On peut constater aussi que le tag recréé une page lim.php contenant une
Backdoor PHP simple.
| Click this bar to view the full image. |
Comment éviter les malvertising ?
Dans un premier temps, il convient de ne pas être vulnérable aux ExploitKit en tenant vos programmes à jour.
Ensuite vous pouvez installer Adblock ou encore mieux
Blockulicious, une extension qui bloque les publicités et adresses malicieuses.
Tout ceci est expliqué sur la page :
Comment Sécuriser son ordinateur ?
Pour
les programmes parasites/adwares, reportez-vous au dossier suivant.
Surtout activez bien les détections PUPs sur votre antivirus.
A lire – Programmes parasites / PUPs :
http://www.malekal.com/2011/07/27/detection-puplpi-potentially-unwanted-program/
agrandir la photo
