Depuis quelques semaines une campagne de publicité malveillante (malvertising) est présente sur le site lepoint.fr.
Celle-ci vise à rediriger les internautes vers de fausses pages d’erreur Windows faisant la promotion d’arnaque support et hotline téléphonique.
Voici quelques informations concernant cette campagne d’escroquerie.
Table des matières
Publicité malveillante (Malvertising) sur lepoint.fr via DoubleClick
Une publicité malveillante présente depuis plusieurs semaines
Le 5 octobre, vu passé ce tweet : https://twitter.com/KingJulian_Z/status/1577591483925991424
Dans ce dernier, on voit le streamer/présentateur TV/journaliste/chroniqueur/marathonien tomber sur une malvertising sur le site lepoint.fr en plein direct sur sa chaîne Twitch.
Cette dernière redirige vers une fausse page d’erreur Windows faisant la promotion d’arnaque de support téléphonique.
Ce procédé n’a rien de nouveau, puisqu’il existe depuis 2016. Plus d’informations : Arnaque support et hotline téléphonique
Pour rappel, une malvertising (publicité malveillante).. sont des publicités qui permettent à des cybercriminels de rediriger les internautes vers des publicités malveillantes.
L’avantage lorsqu’un cybercriminel parvient à soumettre sa publicité malveillante sur un réseau publicité importante est qu’il peut toucher des sites internet à fortes audiences.
Par le passé (autour de 2015), elles étaient fortement utilisées pour rediriger vers des Exploit Kits (attaque Drive-By Download).
Puis par la suite pour charger des arnaques, par exemple, en 2019, les sites de jeux Microsoft étaient visés par des malvertising pour rediriger vers des iphone ou Samsung à 1 euro.
J’en parlais dans cet article : Malvertising sur Microsoft menant à des arnaques
Ici le site Lepoint.fr est touché.
Le réseau publicitaire DoubleClick touchée
J’ai pu tomber sur la publicité malveillante, ce qui permet ensuite de remonter la chaîne pour trouver la régie publicitaire source.
Le domaine internet de la page d’arnaque de support téléphonique est search-4914.info avec une fausse page du contrôle des comptes utilisateur (UAC) comme on peut le voir dans la vidéo en introduction.
Bien sûr le domaine internet change régulièrement pour échapper aux détections des antivirus.
Cela commence par la régie DoubleClick (qui appartient à Google) utilisée sur le site lepoint.fr pour monétiser.
Une des publicités de securepubads.g.doubleclick.net charge un script distant à l’adresse advoiceservices.com/L32/ads/Digital/csi.js
Dans mon cas, celle-ci ci affiche une bannière publicité pour Lufthansa.
Mais surtout, à la fin, on trouve un code qui permet modifier la page active dans le navigateur internet pour la remplacer par une autre page.
C’est ce code en Javascript qui va rediriger la page Web du lepoint.fr automatiquement vers celle de l’arnaque de support téléphonique.
L’URL offusquée en base64.
Lorsque l’on décode, on trombe sur une URL : https://cloud-stats.info/lead/7902/lib-989/js-irtrwy/analytics-z2.1.322.js – 45.76.141.245 (AS-CHOOPA)
A titre informatique, voici la bannière Lufthansa :
Ensuite cloud-stats.info redirige à nouveau vers une autre URL se faisant passer pour un service d’URL courte : http://short1.info/UI8mL1 – 45.76.141.245 (AS-CHOOPA).
A noter que celle-ci n’utilise pas HTTPS mais le navigateur internet ne va pas émettre aucune alerte de sécurité.
Enfin cette dernière charge le landing page des arnaques de support téléphonique, ici donc search-4914.info.
Ce qui nous donne la chaîne suivante :
lepoint.fr DoubleClick (Régie publicitaire de Google) https://advoiceservices.com/L32/ads/Digital/csi.js https://cloud-stats.info/lead/7902/lib-989/js-irtrwy/analytics-z2.1.322.js http://short1.info/UI8mL1 https://search-4914.info/2027/03SA8T95BYZMK/
Tous les domaines sont enregistrés auprès du registrar Namecheap.
short1.info et cloud-stats.info utilisent le même serveur 45.76.141.245 (AS-CHOOPA).
On ne trouve pas d’autres activités malveillantes dessus.
advoiceservices.com un domaine internet qui pose question
L’adresse advoiceservices.com source de la publicité malveillante pose question.
En effet, on ne trouve aucune information sur cette dernière.
Il coche toutes cases d’un domaine enregistré ou récupéré à des fin d’escroquerie.
- La page https://www.advoiceservices.com est vide
- Le site est hébergé via le CDN CloudFlare masquant la véritable adresse IP des serveurs finaux
- La Whois est masqué donnant une adresse en Islande
Redacted for Privacy Privacy service provided by Withheld for Privacy ehf Kalkofnsvegur 2, Reykjavik, Capital Region, 101, is
L’adresse postale semble être l’adresse générique utilisée par le registrar Namecheap lorsque l’on veut masquer les informations du Whois.
Ce qui est troublant, c’est qu’on ne trouve presque des domaines internet malveillants notamment utilisés pour du phishing et ransomware.
A noter ce Tweet encore actif démarre en Avril 2021 avec de nouveaux domaines utilisés par des cybercriminels.
Etonnant qu’avec une adresse pareille, la malvertising ait pu rester actif aussi longtemps.