Le malvertising, tendance de 2015 pour les cyberciminels

La publicité malveillante est un sujet brûlant depuis plusieurs années, les escrocs avertis profitant des nombreuses couches présentes au sein de l'écosystème de la publicité programmatique, qui se base sur un logiciel permettant d’acheter et de vendre de la publicité.

« Les campagnes de malvertising exploitent un certain nombre de faiblesses systémiques au sein de l'écosystème du Web. Ces attaques visent les faiblesses de vérification et de validation dans les réseaux et plateformes publicitaires », explique Lane Thomas, Chercheur en sécurité et Ingénieur en développement logiciel chez Tripwire. « Après avoir obtenu l’accès à ces systèmes publicitaires, les attaquants profitent de correctifs approximatifs diffusés à grande échelle. Cela a pour conséquence qu’une seule intrusion réussie au sein du système publicitaire conduit à un nombre impressionnant de victimes potentielles pouvant être touchées par ces publicités malveillantes ».

Dans l’exemple de la récente attaque ayant touché Yahoo!, la publicité malveillante a été diffusée via le fournisseur de plateforme publicitaire AdJuggler, réputé fiable, avec qui collabore le géant du Web. Car c’est bien AdJuggler qui a été ciblé par les cybercriminels, ces derniers ayant pu diffuser sur tout le réseau publicitaire qu’il gère, dont celui de Yahoo!, des annonces malveillantes. Comme dans de nombreux cas d’attaques de malvertising, les publicités malveillantes fonctionnaient de manière transparente pour les utilisateurs, redirigeant leurs machines vers des sites hébergeant le kit d’exploit « Angler » afin de les infecter.

Un rapport publié par Risk IQ lors de la conférence Black Hat explique que le malvertising a explosé lors de la première moitié de l'année par rapport à la même période en 2014 : +260%. En outre, le nombre d'attaques uniques de malvertising a bondi de 60%. Pendant ce temps, un autre rapport publié récemment par Bromium Labs affirme que 58% des publicités malveillantes sont diffusées via des sites d'actualité réputés. Selon ce rapport, des sites de renom (comme cbsnews.com, nbcsports.com, weather.com, boston.com ou encore viralnova.com) hébergent sans le savoir des publicités malveillantes, et ce depuis le 1^er semestre 2015.

Les pirates voulant inciter les utilisateurs à installer des logiciels malveillants via le malvertising utilisent le plus souvent de fausses mises à jour Flash qui remplacent de plus en plus les faux antivirus et les fausses mises à jour Java, selon le rapport de Risk IQ. Plus globalement, les mises à jour de faux logiciels qui exigent le consentement de l'utilisateur ont dépassé les kits exploits permettant d’infecter silencieusement les machines des utilisateurs.

Cependant les kits d’exploits restent encore très populaires parmi les cybercriminels, comme en témoignent non seulement l'attaque menée sur Yahoo!, mais aussi une autre campagne ayant ciblé près de 3,5 millions de personnes et ayant touché au total plus de 1,3 millions de victimes, via un kit de crimewares appelé « Kit Exploit Rig ».

« Les kits d’exploits se concentrent en grande partie sur des vulnérabilités dans Adobe Flash, Java et Silverlight, grâce à des vulnérabilités présentes dans les navigateurs Web. Ils prospèrent car de nombreux utilisateurs ne maintiennent pas leurs logiciels à jour », explique Lane Thomas.

« Afin d’endiguer ce problème lié à la diffusion de publicités malveillantes, les réseaux et plateformes publicitaires doivent améliorer leurs processus de vérification et de validation. Ils ont en effet beaucoup trop à perdre en termes financiers et de crédibilité vis-à-vis de leurs partenaires », explique-t-il.  « De plus, les utilisateurs se doivent d'être plus vigilants lorsqu’ils cliquent sur des liens publicitaires et surtout toujours s’assurer que leurs logiciels sont à jour ».