Catégorie > High Tech

Malvertising c'est quoi

Posté par Helper, mise à jour le 13/08/2021 à 18:31:16

Malvertising est un mot-valise anglais composé de malware ( logiciel malveillant) et advertising (publicité). Le terme équivalent en français est "publicité malveillante". Si vous n'avez toujours pas compris, on vous l'explique en détails dans cet article.

Définition de la publicité malveillante (Malvertising)



La publicité malveillante, un mot qui mélange les logiciels malveillants et la publicité, fait référence à une technique utilisée par les cybercriminels pour cibler secrètement des personnes. En règle générale, ils achètent de l'espace publicitaire sur des sites Web dignes de confiance et, bien que leurs annonces semblent légitimes, un code malveillant est caché à l'intérieur. Les mauvaises publicités peuvent rediriger les utilisateurs vers des sites Web malveillants ou installer des logiciels malveillants sur leurs ordinateurs ou leurs appareils mobiles.

Certains des sites Web les plus populaires au monde, notamment ceux du New York Times, de Spotify et de la Bourse de Londres, ont affiché par inadvertance des publicités malveillantes, mettant leurs utilisateurs en danger. Ce qui est inquiétant, c'est que les gens peuvent être infectés même s'ils ne cliquent pas sur les images : souvent c'est suffisant s'ils se contentent de charger. Cette méthode est appelée « téléchargement en voiture », car tout ce qu'une victime a à faire est de « passer en revue » une page Web.

Les cybercriminels utilisent la publicité malveillante pour déployer diverses formes de logiciels malveillants lucratifs , notamment des ransomwares , des scripts de cryptomining ou des chevaux de Troie bancaires. Certains schémas installent des scripts qui exécutent des opérations de fraude au clic en arrière-plan. Pour les attaquants, cette entreprise peut être très rentable. "Aujourd'hui, les groupes de malvertising sont des entreprises très organisées", explique Jerome Dangu, co-fondateur et CTO de Confiant, une entreprise qui développe des solutions contre les mauvaises publicités.

Malvertising vs adware



La publicité malveillante est parfois confondue avec les logiciels publicitaires. La publicité malveillante fait référence au code malveillant initialement inclus dans les publicités, qui affecte les utilisateurs qui chargent un site Web infecté. Adware est un programme qui s'exécute sur l'ordinateur d'un utilisateur. Il est souvent installé caché dans un package qui contient également un logiciel légitime, ou atterrit sur la machine à l'insu de l'utilisateur.

La publicité malveillante est-elle courante ?



La publicité malveillante se développe à un rythme rapide. Confiant calcule qu'une publicité en ligne sur 200 est malveillante, tandis que GeoEdge, qui vend des solutions anti-malvertising, estime que jusqu'à 1 publicité sur 100 n'est pas sûre. En 2017, Google a bloqué 79 millions d'annonces qui tentaient d'envoyer des personnes vers des sites Web malveillants et a supprimé 48 millions d'annonces suggérant l'installation de logiciels indésirables.

Les utilisateurs sont confrontés à de multiples menaces via de mauvaises publicités. « Les attaques les plus courantes sont les redirections automatiques, où l'utilisateur est renvoyé de la page vers un emplacement différent, dans lequel il est exposé à de nombreuses menaces : escroqueries par phishing, attaques de rançon de logiciels malveillants, publicités malveillantes menant à des kits d'exploit et téléchargements de fichiers », explique Tobias Silber, vice-président du marketing chez GeoEdge.

Les redirections automatiques représentaient 47,5% de toutes les publicités malveillantes au dernier trimestre de 2018, selon GeoEdge. Pendant ce temps, les pré-clics publicitaires malveillants (téléchargements drive-by ou code malveillant intégré dans les scripts principaux d'une page) représentaient 25 % des incidents. De plus, les post-clics publicitaires malveillants (une fois que les utilisateurs ont cliqué sur l'annonce, ils sont directement infectés ou redirigés vers un site Web malveillant) représentaient 7 %.

Les groupes de publicité malveillante continueront de prospérer, car il est souvent difficile de les traduire en justice, déclare Michael Tiffany, président et co-fondateur de White Ops. Fin 2018, son entreprise a collaboré avec Google et quelques dizaines d'autres organisations et forces de l'ordre pour éliminer l'une des opérations de fraude publicitaire les plus sophistiquées, appelée « 3ve » (prononcé « Eve »). Le groupe a créé de fausses versions de sites Web et de faux visiteurs pour gagner de l'argent.

Pourquoi la publicité malveillante fonctionne-t-elle ?



Chaque jour, un grand nombre d'annonces sont soumises aux différents réseaux publicitaires à travers le monde, ce qui rend très difficile pour les réseaux publicitaires d'effectuer une analyse approfondie de chaque annonce. Souvent, les annonceurs travaillent sur un système basé sur les plaintes, dans lequel si une plainte est déposée contre une annonce ou des annonces d'un groupe / d'une entreprise spécifique, une analyse approfondie est ensuite effectuée à ce moment-là. De nombreux sites Web, en particulier les grands avec plusieurs centaines de milliers d'utilisateurs par jour, s'appuient sur des fournisseurs et des logiciels tiers pour afficher leurs publicités, ce qui réduit à son tour la surveillance directe et la quantité de contrôle qui a lieu. Cette automatisation rend les publicités en ligne vulnérables à la publicité malveillante.

De plus, il est très difficile pour les experts en cybersécurité d'identifier exactement quelle publicité est malveillante, car les publicités sur une page Web changent constamment. Cela signifie qu'un visiteur peut être infecté, mais que les dix prochains, qui visitent exactement la même page Web, ne seront pas infectés.

Comment fonctionne la publicité malveillante ?



Les acteurs malveillants cachent un petit morceau de code au cœur d'une publicité d'apparence légitime, qui dirigera la machine de l'utilisateur vers un serveur malveillant ou compromis. Lorsque la machine de l'utilisateur réussit à se connecter au serveur, un kit d'exploitation hébergé sur ce serveur s'exécute. Un kit d'exploitation est un type de malware qui évalue un système, détermine les vulnérabilités présentes sur le système et exploite une vulnérabilité. À partir de là, l'acteur malveillant peut installer des logiciels malveillants en utilisant le contournement de sécurité créé par le kit d'exploitation. Le logiciel supplémentaire pourrait permettre à l'attaquant d'effectuer un certain nombre d'actions, notamment permettre un accès complet à l'ordinateur, exfiltrer des informations financières ou sensibles, verrouiller le système et le rançonner via un ransomware, ou ajouter le système à un botnet afin qu'il puisse être utilisé pour effectuer des attaques supplémentaires. Tout ce processus se déroule dans les coulisses, hors de la vue de l'utilisateur et sans aucune interaction de sa part.

Le kit d'exploitation le plus populaire



L'un des kits d'exploit les plus populaires actuellement utilisés est le kit d'exploit Angler. Angler utilise un certain nombre de techniques d'évasion afin d'éviter d'être détecté. Par exemple, l'URL de la page de destination à laquelle l'ordinateur de l'utilisateur se connecte, où le kit d'exploitation est hébergé, est souvent générée dynamiquement. Cela le rend difficile à détecter car l'URL change constamment. Angler a également la fonctionnalité pour déterminer s'il est exécuté à l'intérieur d'une machine virtuelle, ce qui rend difficile pour les analystes de cybersécurité d'effectuer une analyse dessus. Enfin, plusieurs couches d'obscurcissement existent dans Angler, construites les unes sur les autres avec divers schémas de codage (base64, RC4, etc.) pour masquer le code qui s'exécute lorsque l'utilisateur vulnérable visite le serveur.

Angler utilise diverses vulnérabilités dans Adobe Flash, Microsoft Silverlight et Oracle Java. Ce sont toutes des extensions extrêmement courantes exécutées sur de nombreux navigateurs Web populaires. Lorsque l'ordinateur de l'utilisateur visite le serveur hébergeant le kit d'exploit, le système est analysé pour déterminer quelles versions du logiciel ci-dessus s'exécutent sur le navigateur de l'utilisateur. À partir de là, Angler choisit la meilleure vulnérabilité pour exploiter la victime.

Une menace bien réelle



Il existe de nombreux exemples de sites Web populaires hébergeant par inadvertance des publicités malveillantes. Selon les médias, des sites populaires appartenant au New York Times, à la BBC, à AOL et à la NFL ont été la cible de campagnes de publicité malveillante jusqu'en mars 2016. Dans ce cas, le code malveillant a été diffusé via un réseau publicitaire compromis. Après l'exécution du kit d'exploitation, le malware téléchargé sur les systèmes vulnérables était une variante de Trojan Bedep. Ce malware fournit généralement à l'acteur malveillant une porte dérobée à travers laquelle il peut accéder au système infecté et y télécharger des fichiers supplémentaires. Certains rapports ont également indiqué que l'attaquant a ensuite infecté la machine avec un ransomware connu sous le nom de Teslacrypt. Le ransomware est un type de malware qui crypte les fichiers sur la machine d'un utilisateur, puis exige un paiement afin de les décrypter.

Les médias d'information ont rapporté un autre exemple de campagne de publicité malveillante à grande échelle en septembre 2015. Dans ce cas, l'attaquant a utilisé un certain nombre de grands réseaux publicitaires, ainsi que plusieurs réseaux plus petits et la campagne n'a pas été découverte pendant près de trois semaines. De nombreux grands sites avec des millions de visiteurs par mois ont été touchés, notamment eBay UK, answers.com et drudgereport.com. Les attaquants ont également pris grand soin de cacher leurs activités, créant des sociétés apparaissant légitimes pour placer les annonces.

Comment le combattre



Malheureusement, en raison du fonctionnement de ce vecteur d'attaque, il est assez difficile pour les utilisateurs de s'en protéger. Le meilleur plan d'action est de s'assurer que tous les logiciels et extensions utilisés (en particulier le navigateur Web, ainsi que Flash et Java) sont tenus à jour. Dans la mesure du possible, si votre navigateur le permet, désactivez l'utilisation de Flash ou configurez-le pour qu'il nécessite une interaction de l'utilisateur pour s'exécuter. Lorsque vous naviguez sur Internet, assurez-vous de fermer les fenêtres du navigateur lorsqu'elles ne sont pas utilisées, car cela minimisera le nombre d'annonces affichées et minimisera la probabilité qu'une annonce malveillante apparaisse. Envisagez l'utilisation d'un bloqueur de publicités complémentaire afin d'empêcher les scripts automatisés de s'exécuter sur les sites Web visités.



Ajouter une réponse

Votre message :

:

Votre prénom:

Votre email:

:



A voir aussi :

Les dernières discussions:



Qui est Réponse Rapide?

Réponse rapide est un site internet communautaire. Son objectif premier est de permettre à ses membres et visiteurs de poser leurs questions et d’avoir des réponses en si peu de temps.

Quelques avantages de réponse rapide :

Vous n’avez pas besoins d’être inscrit pour poser ou répondre aux questions.
Les réponses et les questions des visiteurs sont vérifiées avant leurs publications.
Parmi nos membres, des experts sont là pour répondre à vos questions.
Vous posez vos questions et vous recevez des réponses en si peu de temps.

Note :

En poursuivant votre navigation, vous acceptez l'utilisation de cookies. En savoir plus