Publicités malicieuses : « Malvertising »

Les publicités malicieuses ou Malvertising sont des menaces qui existent depuis plusieurs années.
Ce dossier vous explique que sont ces menaces à travers quelques exemples de campagnes et comment les éviter.

Que sont les publicités malicieuses « Malvertising » ?

Lorsque des cybercriminels souhaitent lancer des campagnes pour infecter des internautes qui visent des pays en particuliers, ces derniers ont besoin de source de trafic afin de rediriger un maximum d’internautes vers le contenu malicieux.

Par le passé, cela se faisait par le piratage de site WEB, les cybercriminels pirataient un maximum de sites WEB, les internautes qui allaient sur ces sites piratés pouvaient potentiellements être infectés.

Exemple avec des campagnes de SQL Injection : LizaMoon Massive SQL injection attack : rogues/Scarewares

ou encore des malwares créés exprès pour pirater des sites WEB comme Tepfer :PSW.Win32.Tepfer – vol FTP et injection/hack de sites

Depuis des malwares plus sophistiqués ont vu le jour comme Linux/CDorked  (exemple avec le site WEB generation-nt.com et darkleech).

Depuis les cybercriminels ont trouvé plus profitable de s’attaquer aux régies publicitaires en tentant de faire charger des publicités malicieuses qui ont pour but de rediriger les internautes vers du contenu malicieux. Cela permet de toucher plus facilement des gros sites dont le trafic est élevé.

Il existe deux types de malvertising :

  • des malvertising « redirector » qui ont pour but de rediriger l’internaute vers un web exploit kit afin de charger un malware sur l’ordinateur. La redirection est automatique aucun clic n’est nécessaire.
  • Des publicités trompeuses où le but est plutôt de faire ouvrir un executable malicieux, le but est de tromper donc l’internaute pour lui faire ouvrir le contenu désiré. Exemple : une fause mises à jour Java où l’internaute croit lancer une mise à jour Java alors que le contenu est tout autre. Ces publicités tirent partie de la méconnaissance technique des internautes.

En plus de permettre de toucher beaucoup d’internautes, les malvertising sont plus difficile à détecter que des piratages. Un piratage modifiant le contenu d’un site WEB, il est relativement facile de détecter des modifications anormales d’un certaines nombre de sites WEB avec un contenu assez identique.

Une malvertising peut cibler un pays en particulier, ne tourner pendant que quelques heures. En outre, on peut aussi ajouter des filtres au niveau de la publicité ou du redirecteur afin de ne rediriger qu’à partir de certaines conditions, ceci permet de filtrer les robots, antivirus et autres.

Pour rappel un exploikit est un programme qui permet de tirer partie de vulnérabilités présentes sur des logiciels installés sur l’ordinateur afin d’exécuter un fichier automatiquement par la simple visite d’un site WEB.

En général, ce sont des plugins du navigateur WEB qui sont visés.

Le schéma suivant décrit une campagne de malvertising :

Malvertising

Exemple de malvertising Clicksor en vidéo :
https://www.youtube.com/watch?v=h95ZaQ1du5s

https://www.youtube.com/watch?v=PRvrrL6dTfo

Quelques campagnes de malvertising

2011 – 2013/2014 : Exploit WebKit

De fin 2011 à 2014, la France a été touchée par des campagnes de malvertising visant à pouser des ransomwares fake Police.

Vous trouverez un exemple de campagne sur la page : « TDS » ( Traffic Direction Systems ) du « Virus Gendarmerie »

Dans la même période, la régie publicitaire Clicksor envoyait aussi beaucoup de malvertising : http://www.malekal.com/?s=clicksor

En plus des Ransomware Fake Police, on trouve différent malwares comme ZeroAccess ou Zbot.

Une de ces campagnes a été active sur Piratebay : Piratebay touché par la malvertising clicksor et le virus gendarmerie

2011 à 2014 fut l’âge d’or pour ces campagnes pour plusieurs raisons :

  • Un exploitKit très performant du nom de BlackHole a vu le jour. Les antivirus était relativement dépassés.
  • Adobe PDF puis Adoble Flash et enfin Java furent visés au niveau des vulnérabilités. Adobe a pris des mesures puis au tour d’Oracle afin de renforcer la sécurité de ses programmes. Voir par exemple les billets :
  • Les navigateurs WEB ont ensuite, à leur tour, renforcer la sécurité en désactivant les plugins non à jour et en intégrant des blacklists d’URLs, par exemple avec Google SafeBrowsing pour Firefox et Google Chrome.

Pour ces campagnes de malvertising, la thématique des sites visités sont surtout des sites de streaming (téléchargement illégal de film) et sites pour adultes.

> 2013 : Browlock Ransomware

Les mesures prises pour renforcer la sécurité ayant eu quelques effets, l’arrestation du développeur de l’Exploit Kit BlackHole aussi.

Un nouveau type de menaces à vu le jour : Browlock Ransomware.

Ce ransomware est une simple page WEB qui bloque le navigateur WEB à l’aide de JavaScript.

Aucun malware n’est chargé sur l’ordinateur.

Ce système offre un double avantage :

  • Pas de malware, moins de chance que les antivirus détectent un élément malicieux, bien qu’ils peuvent détecter la page HTML.
  • Etant une page WEB, on peut viser tous les systèmes d’exploitation et toucher un maximum d’internautes. La page fonctionnera sur Linux ou Mac, contrairement aux web exploitkits qui ne fonctionnent eux que pour Windows.

Exemple de page Browlock Ransomware :

browlock_malvertising_adultdaworld4

Campagne de malvertising Browlock : http://www.malekal.com/2013/10/07/en-browlock-ransomware-malvertising-campaign/

2013 : Explosion des adwares et PUP via fausses mises à jour Flash et Java

Depuis Juillet 2014, une explosion des adwares et pogrammes parasites (PUPs).

Le phénomène a commencé en 2010 avec de faux bandeaux VLC et lecteurs vidéos sur les sites de streaming et a pris de l’ampleur avec de fausses mises à jour Flash et Java.

Ces fausses mises à jour ont été actives sur beaucoup de sites différents : sites de streaming pour adultes, scans manga, Torrent mais aussi des sites grands publics comme Deviant Art et Ebay ont aussi  été touchés.

ou encore Dailymotion : [en] Yahoo Ads for Fake Java Update (PUP.DomaIq)

et même ici sur malekal.com via Appnexus ou Google Adense =)

Une page concernant les fausses pages Java et Flash de Décembre 2013 : Nation Zoom et fausses mises à jour Java (PUP.DomaIQ).

Le programme d’affiliation à l’origine de la majeur partie de ces campagnes est Adware.Win32.DomaIQ / SoftPulse

Voici quelques exemples de ces fausses pages Flash. Certaines reprennent le vrai logo Flash/Java et mentionnent Adobe/Oracle.

Ces publicités exploitent la méconnaissance technique de l’utilisateur qui croit avoir à faire à une vraie demande de mise à jour provenant de programmes connus.

PUP.DomalQ_fake_java YAC_fakeJava

 

2014 : Fausses Alertes Virus sur Mobile

2014 a vu aussi de nouvelles publicités visant les mobiles. Le but est d’afficher de fausses alertes de virus pour vous faire installer des logiciels de nettoyage.

Quelques exemples de ces campagnes sur les pages suivantes :

[fr] Fausses alertes virus Android : Publicités pourries sur tablettes/mobile Android

Mobile Malvertising : Fake Virus Alert

lemondefr_fakevirusalert3 AndroidFauxVirus2

 

2015 : Mode Shadow et USA ciblé

En France, les malvertising fake Java/Flash et Browlock/Fake Police ont beaucoup diminué.

Les malvertising Browlock et Fake Police ont diminué en France mais reste très actives aux USA.

Pourquoi les USA ? Pour deux raisons.

La première est qu’Internet Explorer est beaucoup plus utilisé et ce derneir est beaucoup plus sensibles aux Web Exploit.

Dans le cas d’une campagne de malvertising Fake Polie, si vous utilisez IE vous serez redirigé vers Angler EK alors qu’avec Chrome, ce sera Browlock.

Aux USA, Internet Explorer est encore devant :
IE_USA
Alors qu’en France :
IE_France

L’autre raison est « le mode Shadow », si vous n’habitez pas les Etats-Unis, vous êtes alors obligé de passer par des VPN pour les trouver et les faire retirer.

Or , les frameworks des malvertising sont améliorés continuellement, de plus en plus de filtres ont été ajoutés.

Le filtres de VPN commencent à devenir un standard, certains framework ne fonctionne qu’avec des plages d’IPs résidentiels.

D’autres utilisent probablement du Browser Finger ou systèmes de cache.

et les USA prennent chers, quelques exemples de ces campagnes :

On comprend pourquoi Cryptowall a dépassé les 600 000 PC infectés en quelques mois.

Les Fake Police ont continue à taper fort.

Le site pour adulte Xhamster (qui se trouve dans le top 100) a été très touché par :

De même pour PornerBros qui est régulièrment touché (et la régie de publicité Adxpansion).

Et d’autres régies publicitaires sur les sites adultes.

Yahoo ausi : http://www.ibtimes.co.uk/huffington-post-yahoo-news-aol-tmz-hit-by-malware-ads-over-1-5bn-visitors-risk-1482651

Google DoubleClick aussi : https://blog.malwarebytes.org/malvertising-2/2014/09/googles-doubleclick-ad-network-abused-once-again-in-malvertising-attacks/

AOL Advertising : http://www.scmagazine.com/ransomware-is-being-distributed-on-huffpo-site/article/391235/

Vous ajoutez à cela des malvertising visant le mobile, toujours sur les sites adultes pour pousser du Locker Android : Index of Android Locker

Et vous pensez que c’est terminé ? et bien non, depuis quelques mois, des arnaques téléphoniques ont vu le jour : Arnaques désinfection/support par téléphone

Le principe est un peu le même que le ransomware Browlock, de fausses pages faisant croire que votre PC est infecté et demandant à téléphoner à un support téléphonique.

Ces publicités bloquent le navigateur WEB.

Vous trouverez quelques exemples sur la page : Arnaques de support téléphonique (TechScam)

Les arnaques Arnaque : Gagner Iphone à 1 euro

2016 : Les malvertising continuent

D’autre malvertising notamment pour pousser des ransomwares, par exemple TeslaCrypt : https://twitter.com/malekal_morte/status/699295179627458561
ou encore https://twitter.com/malekal_morte/status/707317718647750657

Malvertising_WebExploit_TeslaCrypt

Outre atlantique de gros sites sont touchés comme msn.com
Les Arnaques Iphone à 1 euro sont très actives.

Début 2016, des malvertising font la promotion de ransomware et de Trojan Banker :

Trafficholder_ExploitKit Cerber_EK_Malvertising_clickadu_2

Quelques commentaires côté technique

Voici quelques exemples de redirections de malvertising du point de vue technique.

Je ne mettrai pas d’exemples de Fiddler Logs, vous en trouverez sur http://malvertising.stopmalwares.com/

Côté structure des serveurs de malvertising, on trouve un peu de tout, cela va de faux serveurs Openx à des framework spécifiques.

Afin d’empécher le blacklistage du faux serveurs de publicité, les cybercriminels multiplient les redirections.

Kovter est un bon exemple. La structure est :

  • Régie publicitaire légitime
  • Server Malvertising Kovter (en HTTPs), un service HTTPs comme worldssl.net peut être utilisé entre la régie légitime et le serveur Malvertising Kovter. CE dernier peut changer tous les un ou deux jours.
  • Un ou deux redirecteur avec un domaine en .pl qui changent toutes les heures.
  • ExploitKits.

Déjà, le serveur Kovter est en HTTPs, les client antivirus qui ne sont pas capables d’analyser le flux HTTPs peuvent être à la rue.

Par exemple la version 9 d’Avast! n’était pas capable de blacklister une URL en HTTPs.

Entre le serveur de Malvertising Kovter et l’ExploitKit, on peut donc avoir deux domaines .pl

Les antivirus peuvent voir beaucoup de hits sur l’ExploitKit si cela touche de gros réseaux publicitaires, mais s’ils ne sont capables de remonter qu’au referer d’avant, ils ne verront qu’un domain .pl, de ce fait, ils ne seront pas capables de remonter au serveur de publicité Kovter pour la blacklister.

Donc le serveur de publicité malicieux Kovter peut rester à 0 détecter et la régie publicitaire ne rien voir.

Les Applets Flashs sont aussi très utilisées, vous trouverez quelques exemples sur les pages :

De même, ils sont devenus de plus en plus sophistiqués, à la base la redirection vers le TDS se faisait dans l’Action Script, puis l’URL du TDS a été offusqués dans du contenu binaire déoffusqué à partir de l’AcionScript qui créé l’iframe.

L’avantage des bannières flashs, c’est qu’il est relativement facile d’obtenir une bulle sur VirusTotal. De ce fait, on propose a bannière sur des sites ou régie qui vont scanner sur VirusTotal, aucune détection donc non malicieuse.

Dernièrement, les bannières proposées embarquent directement l’exploit kit qui va charger le binaire (Flash EK ou Nutrino EK).
Ces dernières sont proposées aux régies de publicités avec une détection de 0 sur Virustotal.
Kapersky a publié un article concernant ces Exploit.SWFhttp://securelist.com/analysis/publications/69727/how-exploit-packs-are-concealed-in-a-flash-object/

Autre exemple avec les hacks.

Ci-dessous des tags Openx/Revive modifiés où un code avec une adresse  quotes.js, cette dernière rdirige vers un ExploitKit.

On peut constater aussi que le tag recréé une page  lim.php contenant une Backdoor PHP simple.

Malvertising_malicious_tags

Comment éviter les malvertising ?

Dans un premier temps, il convient de ne pas être vulnérable aux Web ExploitKit en tenant vos programmes à jour.
Ensuite vous pouvez installer un bloqueur de publicités (adblock) comme uBlock.

Pour tous les aspects généraux sur la sécurité de Windows.
Vous pouvez lire les pages :

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 335 times, 1 visits today)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *