Infos

Démantèlement d’une campagne de malvertising associée à Neutrino

Des chercheurs en sécurité de l’information ont annoncé la neutralisation d’une campagne internationale qui avait adopté la publicité malveillante pour diffuser le ransomware CrypMIC via le kit d’exploitation Neutrino. D’après les estimations de Cisco Talos, ces attaques de malvertising ont menacé un million d’utilisateurs en Amérique du Nord, dans l’Union européenne, dans la région Asie-Pacifique et au Proche-Orient.

Les enquêteurs ont établi que les publicités malveillantes chargées de la redirection provenaient du réseau publicitaire OpenX et apparaissaient sur des sites d’informations et de pornographie fréquentés ainsi que sur des sites plus spécialisés consacrés à la finance, au rugby, etc. L’élément marquant est que la victime était redirigée dès qu’elle accédait à la page au contenu malveillant. Elle ne devait réaliser aucune action. « Ce qui caractérise vraiment cette campagne, c’est sa dimension véritablement internationale. Elle a touché de nombreuses régions et était multilingue » a déclaré Nick Biasini, chercheur chez Cisco.

Les chercheurs du département spécial de Cisco ont découvert cette campagne de malvertising au début du mois dernier. Les données récoltées en l’espace de deux semaines ont permis aux chercheurs de convaincre le bureau d’enregistrement de domaines GoDaddy de commencer à éliminer les redirections vers un serveur Neutrino unique qui se trouvait sur le territoire russe.

Nick Biasini suppose que les auteurs de cette campagne de malvertising ont utilisé des identifiants volés afin de pouvoir accéder aux comptes utilisateur des domaines enregistrés chez GoDaddy. Ils ont ensuite créé des dizaines de sous-domaines « propres » et les ont utilisés pour acheter des droits d’affichage de publicité sur la plateforme OpenX. Pour organiser l’attaque, les individus malintentionnés se sont appropriés des publicités contextuelles sur des sites thématiques grâce aux possibilités offertes par OpenX. Ainsi, les visiteurs des ressources légitimes avec la publicité malveillante tombaient sur un sous-domaine créé spécialement pour l’occasion (des passerelles dans la terminologie de Cisco Talos) avant d’être redirigés vers les pages qui hébergeaient les codes d’exploitation.

« La passerelle est tout simplement un intermédiaire entre la redirection initiale (à savoir, le site compromis/la publicité malveillante) et le serveur cible du pack d’exploitation qui réalise l’analyse, organise la compromission et livre la charge utile » explique Nick Biasini sur son blog. D’après le chercheur, le recours aux domaines « passerelles » permet aux individus malintentionnés de déplacer rapidement le serveur malveillant sans changer la chaîne des redirections et au final, cela « garantit la longévité de la campagne sans devoir modifier en permanence le site ou la publicité qui amorce la chaîne d’infection ».

D’après l’expert, pour organiser la redirection vers les pages contenant les codes d’exploitation de Neutrino, les attaquants ont utilisé des passerelles avec des scripts Darkleech, pseudo-Darkleech et EITest. Nick Biasini a également indiqué que tout au long de l’observation, près d’un million de visiteurs de sites hébergeant des publicités malveillantes avaient été mis en danger mais seulement 0,1 % d’entre eux ont été attaqués par Neutrino qui diffusait le ransomware CrypMIC.

Cette campagne de malvertising neutralisée par Cisco démontre une nouvelle fois que Neutrino est le principal acteur sur le marché des kits d’exploitation. Il continue à occuper activement la niche qui s’est créée après l’arrestation des membres de l’organisation criminelle qui volait l’argent des internautes russes via le trojan bancaire Lurk. D’après Kaspersky Lab, ces individus malintentionnés avaient beaucoup compté sur Angler pour livrer ce trojan bancaire. Ils s’étaient même occupés de l’assistance et du développement et ils l’avaient loué à d’autres criminels.

Nick Biasini note dans son rapport que la menace des campagnes de malvertising prend de l’ampleur. « Au fur et mesure que le contenu migre vers Internet, les publicités en ligne constituent la source de revenus principale pour ces sites » explique l’expert. « Les cybercriminels le savent et ils se tournent de plus en plus souvent vers le malvertising au détriment de méthodes plus traditionnelles pour attirer le trafic sur les ressources qui hébergent les kits d’exploitation ».

Fonte: Threatpost

Démantèlement d’une campagne de malvertising associée à Neutrino

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception