Adwares/PUPs: des améliorations….

Un petit billet pour faire le point sur les adwares et PUPs (Programmes parasites).
Ces derniers sont devenus la première menace depuis quelques années, sur les forums de désinfections, j’estime les demandes à 80%.
Aujourd’hui, nous assistons à une chute significative.

Si vous suivez le site, vous savez que malekal.com tente de limiter activement les malwares notamment les publicités malicieuses qui ont pour but de rediriger les internautes vers du contenu malicieux.
Notamment depuis 2011, en tentant de faire retirer les publicités malicieuses qui chargent du ransomware Browlock / Virus Gendarmerie (voir la page sur les campagnes de publicités malicieuses Browlock / virus gendarmerie).
Mais aussi plus récemment des publicités malicieuses qui poussaient des adwares et programmes parasites, notamment les fausses publicités Java et Flash.

Un petit historique de l’activité de ces adwares/PUPs (vous avez un survol aussi sur la page Sur la ligne… : Légitime ou non légitime ? Malware or not malware ?).
Fin 2010, les premières arnaques commencent à arriver sur les sites de streaming, avec de fausses bannières VLC notamment : VLC Plugin : Offerbox / HotBar/ShopperReports/ClickPotato notamment par Webinfluence (à travers cashtraffic) qui est aussi la société éditrice d’Adcash (en Estonie à Tallien), (d’ailleurs, la société éditrice de l’Adware Boxore se trouve aussi là bas, si on se réfère aux mentions légales).

2011 : 01net/telecharger.com distribue l’adware Tuto4PC :
PCTuto/Tuto4PC : association avec 01net
PCTuto et 01net : Le foutage de gueule continue
2012 : telecharger.com repack ses logiciels.

D’autres grands sites de téléchargement vont suivre, vous trouverez une liste sur la page : Les sites de téléchargements qui repackent

Pendant que les sites de streaming poussaient de plus en plus d’adwares/PUPs (faux messages Java et Flash), des sites grands publics commencent, eux aussi, à être touché.
Tout simplement en proposant des publicités malicieuses sur des gros réseaux publicitaires (notamment Appnexus et Pubmatic).

On assiste alors à une explosion en Juillet 2013 avec un pack qui impose Nation Zoom en page de démarrage (voir Nation Zoom et fausses mises à jour Java (PUP.DomaIQ).
DomaIQ / SoftPulse est un programme d’affiliation qui propose des programmes parasites et adwares, la plus part des fausses pubs Java et Flash qui touchent les sites grands publics poussaient ce programme d’affiliation.
Par exemple des sites comme Ebay, DeviantArt ont été touchés :

J’ai commencé alors la page suivante http://malvertising.stopmalwares.com/2014/05/pup-domaiq-fake-javaflash-update-pages/ en faisant retirer ces publicités malicieuses une par une.
Il y a eu donc des améliorations, notamment Appnexus a créé un département abuse/malware qui est très réactif.
Bien sûr, il en persiste de temps en temps, par exemple PubMatic a été touché ce WE et Appnexus a poussé la publicité arnaque gagner iphone presque toute la semaine (via un réseau tiers).
Cette dernière visait les mobiles et pouvait aussi afficher de fausses alertes pour faire installer des nettoyeurs (comme cela est expliqué sur ce billet  : [fr] Fausses alertes virus Android – Publicités pourries sur tablettes/mobile Android).

FakeVirusAlert
A noter que les sites lemonde.fr et liberation.fr ont été touchés dernièrement.

A côté de cela, sur les sites non premium, ces publicités ont explosées.
Et ce n’est pas faute de les avoir prévenu.
Le site de Torrent t411.me en poussait via admailtiser (ConvertMedia – isralienne). Je tweet, elle est retirée et on me demande de retirer mon tweet.
Seulement ces publicités ont continué sur le site.
Au final, Google a blacklisté le site (voir t411.me blacklisté par Google) pour obliger le webmaster a réagir (et cette mention sur StopBadware : Users exposed in May malvertising campaign)

ConvertMedia

On constate donc deux choses :

  • les régies publicitaires sur les sites premium ont plutôt l’air victime et tenter de limiter le phénomène
  • les régies sur les sites non premium ont plutôt l’air de jouer ces publicités de manière volontaire.

En effet sur les sites de streaming, warez et adultes, les régies « mainstream » sont interdites (leurs conditions d’utilisation refusent ces sites), dès lors des régies visant ce type de sites naissent.
Et pour moi, il est clair que ces régies ont joué ces fausses publicités Flash/Java de manière intentionnelle.
Même des régies israélienne ont été créées pour pousser des pack d’affiliation de programmes parasites…. israeliens aussi.
Matomy Group est même été côté en bourse. Rappelez-vous Tuto4PC, un éditeur d’adware (toujours existant) est aussi en bourse.

Et quand on les contacte pour ces fausses pubs Flash/Java ? RevenueHits, Adcash etc… : aucune réponse.
et via tweeter : https://twitter.com/search?q=adcash%20from%3Amalekal_morte&src=typd
ou encore  popcash qui envoie des pubs d’arnaques tous les jours, ils disent les retirer et ça revient.
D’autres réagissent bien, Exoclick, Ero-advertising qui limitent vraiment leur diffusion.

Maintenant, je ne prend plus de gants : https://twitter.com/malekal_morte/status/605077399143911424

Dernièrement Google et Microsoft ont bougé et mis à jour respectivement Google SafeBrowsing et Microsoft SmartScreen :

Ce changement se fait particulièrement sentir chez Google, se reporter au billet suivant : http://forum.malekal.com/google-safebrowsing-t51057.html ou certains installeurs d’adwares sont tout simplement bloqués.
Bien entendu, ces derniers réagissent et tentent de contourner ces blocages.
Par exemple, ci-dessous avec DomaIQ/SoftPulse, où sur Google Chrome, au lieu de faire télécharger directement l’exe, ce dernier fait téléchargé un raccourci qui doit s’ouvrir avec Internet Explorer et pointe vers l’installeur.

D’autres, comme Solimba, utilisent ces blocages pour pousser leurs installeurs :

Adwares_blocage_GoogleChrome_Solimba

Il semblerait qu’Adobe soit aussi plus enclin à faire du ménage dans les publicités qui mentionnent son produit Flash Player : https://twitter.com/AdobeSecurity/status/605067356767809536

Adobe_Fake_Flash

 

De ce fait, les faux messages Flash Player ont été réduits, par exemple, DomaIQ/SoftPulse affiche maintenant une mise à jour « lecteur vidéo ».pup_adware_lecteur_video

J’ai aussi noté que certaines régies publicitaires, comme AdCash, ont fait, du jour au lendemain, du ménage.

Il semble que tout ceci ait un effet puisque les téléchargements AdwCleaner chutent.
Cela signifie donc que moins d’utilisateurs sont touchés par ces malwares, ceci confirme donc bien le ralentissement.
Chez moi, environ divisé par deux depuis le début de l’année :

AdwCleaner_Download

L’équipe AdwCleaner m’a gentillement donné des captures d’écran de leurs statistiques de téléchargement qui confirme bien la tendance.
On passe de 200/150k à moins de 100k.
AdwCleaner_statistiques2 La chute débute vers le 31 mars.AdwCleaner_statistiques

 

J’imagine que cela va surement remonter mais je doute qu’on atteigne les niveaux d’avant, Google et Microsoft vont certainement suivrent tout ceci et ajuster à chaque fois.
D’autre part, cela légitime la lutte et les antivirus vont certainement ajouter aussi des détections contre les adwares qui « abusent ».
Bref, le gagnant au final est l’utilisateur !

Reste que d’autres arnaques voient le jour, notamment les arnaques de support téléphoniques qui explosent aux USA « tech scam support ».
En Europe, les internautes sont démarchés par des appels téléphoniques se faisant passer pour Microsoft, Apple etc.
Aux USA, des publicités avec de faux messages bloquent le navigateur WEB (un peu comme le ransomware Browlock) [oui les USA, c’est horrible car vous avez adwares + tech scam support + Browlock + AndroidLocker]
Un billet sur stopmalware : Tech Support Scam Support Malvertising avec des captures d’écran de ces messages. (Une mention chez bluecoat (ça fait toujours plaisir))

Des versions françaises mal traduites commencent à arriver (oui c’est toujours mal fait au début et ils s’améliorent).
Elles sont poussés par des adwares, j’espère que les régies publicitaires ne vont pas aller jusqu’à pousser ces publicités malicieuses en France.

Quelques exemples :

Une autre tendance sont des publicités qui se font passer pour des sites d’actualité qui conduisent à des arnaques.

De même pour l’Arnaque : Gagner Iphone à 1 euro, celle-ci se trouvait sur quasi tous les réseaux publicitaires, j’ai limité sa diffusion.
Dernièrement sur Ad6media et Adcash.

On voit bien la chute :

arnaque_iphone_malvertising

 

Les éditeurs adwares vont certainement tenter de bypasser certains blocages et cherche de nouveaux débouchés (viser d’autres pays etc).

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 74 times, 1 visits today)

3 thoughts on “Adwares/PUPs: des améliorations….

  1. Chouette ! Peut-être sera t’on enfin débarrassé de ces saloperies ? Je ne pense pas mais je suis content que les adwares & PUP sont de moins en moins présents. Bon sinon il y a toujours 01net et d’autre grand site de téléchargement qui en mettent toujours, et Clubic est en train de commencer a en mettre, j’ai téléchargé un logiciel sur clubic. Pan je me retrouve avec QV06 sur mon ordi.

  2. Malékal, merci pour tout ce que vous faites pour « nous simple nous », je suis fascinée par vos connaissances et vos capacités….

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *