Malvertising : les bons et mauvais points

Comme vous avez pu le constater, les derniers billets parlent des malvertising – les publicités qui redirigent vers du contenu malicieux – histoire donc de donner un aperçu de ce phénomène en plein boom notamment pour refourguer du  Trojan.Winlock / Trojan.Ransomware : Virus Police.

En rapportant ici les malvertising, j’ai aussi tenté de contacter les régies de publicités afin de les faire retirer.
Parfois le résultat est positif et parfois vous allez voir c’est assez navrant…. un petit tour dans l’envers du décor.

Les bons points

On commence par les résultats positifs.
Les échanges avec JuicyAds ont permis de retirer une malvertising : http://www.malekal.com/2012/05/02/malvertising-juicyads-com-ransomware-activite-illicite-demelee
Pas mal d’échange par la suite

TrafficHolder (Malvertising : http://www.malekal.com/2012/05/09/malvertising-sur-drtuber-com-a-travers-trafficholder-com/) a aussi fait le nécessaire, le support est très réactif.

Trafficforce (Malvertising : http://www.malekal.com/2012/05/21/malvertising-lovecamplanet-com-sur-porn-com-via-trafficforce-com/) a aussi fait le boulot.

J’avais aussi contacté Adf.ly (Malvertising : http://www.malekal.com/2012/03/13/malvertising-adf-ly-ransomware-sacem-police-nationale/ ) et ero-advertising.com (Malvertising : http://www.malekal.com/2012/05/10/malvertising-ero-advertising-com-trafficbroker-trafficholer-vers-wowsexvideos-net/) auxquels je n’ai pas eu de réponse.
Cependant les malvertising ont été très vite retirées, j’imagine donc que les contacts ont eu leurs effets.

Les mauvais points

On commence par TrafficBroker (Ex de Malvertising : http://www.malekal.com/2012/05/09/malvertising-sur-drtuber-com-a-travers-trafficholder-com/) – contact via le formulaire du site et aucune réponse.
A l’heure d’aujourd’hui, ils ont toujours des malvertising actives :

Clicksor… comme vous pouvez le voir beaucoup d’échanges.
Je rappelle que les malvertising sur Clicksor sont actives depuis très longtemps (au moins Décembre 2011) – cela a valu beaucoup de billets : http://www.malekal.com/?s=Clicksor dont encore un aujourd’hui : http://www.malekal.com/2012/05/24/malvertising-clicksor-avec-un-faux-message-de-mise-a-jour-firefox/

Le contact m’assure pourtant faire le nécessaire pour retirer les malvertising, le contact me dit même que clicksor a mis en place un nouveau système antivirus. Le problème est que les malvertising sont sur une régie tiers, le tracking est impossible pour clicksor. Je n’ai pas plus d’infos et donc je suis pas capable de dire si la régie est légitime ou non.

A l’heure d’aujourd’hui pas vraiment de résultats positifs. Au mieux, celle-ci n’est plus active pendant quelques jours et revient.
On verra dans le temps si clicksor arrive à virer definitivent ces malvertising.

Pornerbros.com (Malvertising : http://www.malekal.com/2012/04/20/pornerbros-com-conduit-a-des-infections-via-des-exploits/ ), comme vous pouvez le voir quelques échanges.


Pour rappel, ils ont deux malvertising sur le site… une chez adxpansion.com contacté via twitter mais aucune action – la malvertising est toujours active.

La seconde sur noirads.com – Le webmaster me certifie mener les investigations… recontacté quelques jours après, la seule réponse que j’ai obtenu est que cela vient de la régie de publicité qui a une bannière malicieuse (wow quelle info) …. le seul hic est que cdn1.noirads.com a la même adresse IP que le BlackHole \o/
Contactez cette fausse régie est donc une perte de temps …..

Soit ils sont très incompétents (ou s’en foutent) soit <mode cynique>….. la régie malicieuse payent très bien ….</mode cynique>.

Comment se font avoir les régies ?

Après avoir discuté avec quelques régies, voici comment se passe la soumissions de  Malvertising.

Les auteurs de malwares créés des bannières ou sites pornographiques qui vont être soumis aux diverses régies (simples inscriptions).
Ces sites sont validés par les régies.

Au moment de la soumissions les sites sont légitimes et ne redirigent vers aucun contenu malicieux.
Par exemple ci-dessous, en grattant un peu… On constate que  le site maturecreampiestubes.com possède bien du « vrai » contenu.

Le site est soumis à Trafficbroker qui le valide , une fois la validation effectuée, les auteurs de malwares active un .htaccess qui va simplement effectuer des redirections vers l’ExploitKit à chaque connexion vers le site qui sera alors délivré par Trafficbroker.

et paf on tombe l’ExploitKit :

http://vaageeshvagisa.servequake.com/main.php?page=22d60c9a87becdf3
http://vaageeshvagisa.servequake.com/data/ap1.php?f=a2726
http://vaageeshvagisa.servequake.com/data/hhcp.php?c=a2726
http://vaageeshvagisa.servequake.com/Set.jar
http://vaageeshvagisa.servequake.com/w.php?f=a2726&e=3
http://vaageeshvagisa.servequake.com/w.php?f=a2726&e=0

=> 2/41 @ VirusTotal : http://www3.malekal.com/malwares/index.php?hash=f41ba26b6a0748bb2ecba7e62d4c6db5  

Au moment donc de la soumission les régies ne peuvent donc voir le contenu malicieux qui n’est pas actif.
Ce système permet aussi de modifier la redirection de manière automatique vers d’autres BlackHole si on veux faire tourner des domaines pour éviter le blacklistage par les antivirus sans avoir à la malvertising.
Cela permet aussi de n’activer la redirection que pour certaines adresses (etc ne pas rediriger pour GoogleBot ou l’IP de la régie de publicité).

Les whois ou adresses IPs peuvent aider à avoir une idée mais ne permettent pas de certifier à 100% de la non validé du site.
Scanner l’adresse sur VirusTotal est par exemple complètement inutile, à coup sûr l’adresse est inconnue des antivirus. Souvent ce sont des domaines très récents.
Une recherche de l’adresse IP sur Google ou des DNS peuvent parfois donner une idée.

Si on a une suspicion, il faut retourner checker le site une fois la validation faite.

Le fond du problème reste que la régie est juste un intermerdiaire qui distribue le traffic et que le contenu est chez l’annonceur. Dès lors ce dernier fait ce qu’il veux (ou parfois pas s’il se fait hacker).

Conclusion

Comme vous pouvez le constater, la majorité des régie de publicités jouent le jeu… mais certaines non et le contenu malicieux est en ligne depuis plusieurs semaines.
Ceci permet aux auteurs de malwares de propager du contenu malicieux sur des sites très fréquentés sur du long terme, en ce sens les malvertising sont vraiment interressantes. Chose que j’avais évoqué sur ce billet : http://www.malekal.com/2012/05/07/revue-de-presse-rapport-symantec-et-les-malvertising/

Au final, un programme de filtrage de publicité comme AdBlock peut devenir à terme un outil de sécurité/protection.
Reste que les régies de publicité vont devoir faire le nécessaire face à ce nouveau phénomène et que celles qui ne font pas le nécessaire pour le moment rectifie le tir.

 

EDIT – 26 MAi

Vu sur Twitter : https://twitter.com/bartblaze/status/206337483447865346

Un billet sur le Blog de GoogleAds qui parle des malvertising : http://googleblog.blogspot.fr/2012/05/fight-against-scam-adsby-numbers.html

Malvertising Google

EDIT – 19 Juillet

Juste pour signaler qu’il n’y a pas vraiment d’évolution  et que les mêmes régies de publicité continuent de distribuer des malvertising.
Dans ce sens, j’ai ajouté ces régies dans le fichier HOSTS filtrant d’HOSTS Anti-PUPs/Adware à savoir :

  • hit.trafficholder.com
  • pu.plugrush.com
  • cs.adxpansion.com
  • newt7.adultadworld.com
  • ads.clicksor.com

 EDIT 26 Juillet

Sur un papier de Trend-Micro sur les attaques courant 2012- on constate que clicksor et trafficholder sont mentionnés, ce qui confirme les dires de ce billet.
La page vers le PDF : http://www.trendmicro.com/us/boxes/lightboxes/20120618041005.html

 EDIT 20 Novembre 2012

MegoAds

 

MegoAds – une compagnie de publicité fictive visant les sites pornographies : http://www.malekal.com/2012/11/20/en-megoads-fake-advertising-for-porn-websites/

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 51 times, 1 visits today)

One thought on “Malvertising : les bons et mauvais points

  1. Rhooo, c’est dommage pour Mature Ceampies Tubes, j’étais curieux de voir Fuck Me The French Way. Histoire de m’instruire. Damn it. 😀

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *