Démantèlement d’une campagne de malvertising associée à Neutrino

Des chercheurs en sécurité de l’information ont annoncé la neutralisation d’une campagne internationale qui avait adopté la publicité malveillante pour diffuser le ransomware CrypMIC via le kit d’exploitation Neutrino. D’après les estimations de Cisco Talos, ces attaques de malvertising ont menacé un million d’utilisateurs en Amérique du Nord, dans l’Union européenne, dans la région Asie-Pacifique et au Proche-Orient.

Les enquêteurs ont établi que les publicités malveillantes chargées de la redirection provenaient du réseau publicitaire OpenX et apparaissaient sur des sites d’informations et de pornographie fréquentés ainsi que sur des sites plus spécialisés consacrés à la finance, au rugby, etc. L’élément marquant est que la victime était redirigée dès qu’elle accédait à la page au contenu malveillant. Elle ne devait réaliser aucune action. « Ce qui caractérise vraiment cette campagne, c’est sa dimension véritablement internationale. Elle a touché de nombreuses régions et était multilingue » a déclaré Nick Biasini, chercheur chez Cisco.

Les chercheurs du département spécial de Cisco ont découvert cette campagne de malvertising au début du mois dernier. Les données récoltées en l’espace de deux semaines ont permis aux chercheurs de convaincre le bureau d’enregistrement de domaines GoDaddy de commencer à éliminer les redirections vers un serveur Neutrino unique qui se trouvait sur le territoire russe.

Nick Biasini suppose que les auteurs de cette campagne de malvertising ont utilisé des identifiants volés afin de pouvoir accéder aux comptes utilisateur des domaines enregistrés chez GoDaddy. Ils ont ensuite créé des dizaines de sous-domaines « propres » et les ont utilisés pour acheter des droits d’affichage de publicité sur la plateforme OpenX. Pour organiser l’attaque, les individus malintentionnés se sont appropriés des publicités contextuelles sur des sites thématiques grâce aux possibilités offertes par OpenX. Ainsi, les visiteurs des ressources légitimes avec la publicité malveillante tombaient sur un sous-domaine créé spécialement pour l’occasion (des passerelles dans la terminologie de Cisco Talos) avant d’être redirigés vers les pages qui hébergeaient les codes d’exploitation.

« La passerelle est tout simplement un intermédiaire entre la redirection initiale (à savoir, le site compromis/la publicité malveillante) et le serveur cible du pack d’exploitation qui réalise l’analyse, organise la compromission et livre la charge utile » explique Nick Biasini sur son blog. D’après le chercheur, le recours aux domaines « passerelles » permet aux individus malintentionnés de déplacer rapidement le serveur malveillant sans changer la chaîne des redirections et au final, cela « garantit la longévité de la campagne sans devoir modifier en permanence le site ou la publicité qui amorce la chaîne d’infection ».

D’après l’expert, pour organiser la redirection vers les pages contenant les codes d’exploitation de Neutrino, les attaquants ont utilisé des passerelles avec des scripts Darkleech, pseudo-Darkleech et EITest. Nick Biasini a également indiqué que tout au long de l’observation, près d’un million de visiteurs de sites hébergeant des publicités malveillantes avaient été mis en danger mais seulement 0,1 % d’entre eux ont été attaqués par Neutrino qui diffusait le ransomware CrypMIC.

Cette campagne de malvertising neutralisée par Cisco démontre une nouvelle fois que Neutrino est le principal acteur sur le marché des kits d’exploitation. Il continue à occuper activement la niche qui s’est créée après l’arrestation des membres de l’organisation criminelle qui volait l’argent des internautes russes via le trojan bancaire Lurk. D’après Kaspersky Lab, ces individus malintentionnés avaient beaucoup compté sur Angler pour livrer ce trojan bancaire. Ils s’étaient même occupés de l’assistance et du développement et ils l’avaient loué à d’autres criminels.

Nick Biasini note dans son rapport que la menace des campagnes de malvertising prend de l’ampleur. « Au fur et mesure que le contenu migre vers Internet, les publicités en ligne constituent la source de revenus principale pour ces sites » explique l’expert. « Les cybercriminels le savent et ils se tournent de plus en plus souvent vers le malvertising au détriment de méthodes plus traditionnelles pour attirer le trafic sur les ressources qui hébergent les kits d’exploitation ».

Fonte: Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *