Overblog Suivre ce blog
Editer l'article Administration Créer mon blog
quoideneuf1.over-blog.com

plusieurs publicités malveillantes decouverte sur le site java.com et sur d'autres sites préstigieux

30 Août 2014 , Rédigé par nicko Publié dans #informatique

Une compagnie basée à New York de réseau publicitaire AppNexus, qui fournit une plate-forme spécialisée dans la publicité en ligne en temps réel, a de nouveau été repéré comme l'origine d'une récente campagne de «malvertising» qui utilise Angler Exploit Kit pour rediriger les visiteurs vers un hébergeur de sites Web ou le malware Asprox attend ces victimes.

plusieurs publicités malveillantes decouverte sur le site java.com et sur d'autres sites préstigieux

Les serveurs d'AppNexus gères16 milliards d'achats d'annonce par jour, faisant d'AppNexus le numéro deux après Google sur le nombre de publications journalière. En mai dernier, AppNexus servait des annonces malveillantes visant la plate-forme Silverlight de Microsoft, visant indirectement le service le plus important d'abonnement du monde Netflix qui fonctionne avec Silverlight, et en raison de sa popularité, les pirates informatiques avaient chargé des kits d'exploit avec Silverlight.

Dans le cadre de cette campagne, les utilisateurs de plusieurs sites prestigieux, dont Java.com, Deviantart.com, TMZ.com, Photobucket.com, IBTimes.com, eBay.ie, Kapaza.be et TVgids.nl, ont la semaine dernière été redirigés vers des sites Web malveillants qui desservent des annonces infectées aux visiteurs en installant un botnet sur leur ordinateur, a déclaré la société de sécurité Fox-IT.

"Ces sites n'ont pas été eux-mêmes compromis, mais sont la victime de malvertising. Cela signifie qu'un fournisseur de publicité, offrant ses services à une petite partie d'un site Web, sert de la publicité malveillante visant à infecter les visiteurs avec des logiciels malveillants », déclarations de chercheurs de Fox-IT dans un billet de blog .

Angler exploiter kits sont disponibles sur les forums souterrains et sont utilisés dans diverses campagnes malveillantes de sites Web connus qui redirigent les utilisateurs vers d'autres sites qui hébergent,des malwares bancaire et d'autres types de codes malveillants afin de faire le plus grand nombres de victimes.

"S'il vous plaît noter, qu'un visiteur n'a pas besoin de cliquer sur les annonces malveillantes afin d'être infectés. Cela se passe silencieusement quand l'annonce est chargé par le navigateur de l'utilisateur, «les chercheurs ont mis en garde.

Selon les chercheurs, Angler vérifie d'abord si le navigateur de la victime est doté d'une versions périmées de Java, Adobe Flash Player ou Microsoft Silverlight, puis installe silencieusement une variante du botnet Asprox.

 

Asprox est généralement un botnet de spam qui a été impliqué dans plusieurs attaques de grande envergure sur divers sites Web pour propager des programmes malveillants. Le malware a été récemment modifié en click-fraude et les cybercriminels l'utilisent pour propager des programmes malveillants par le biais de pièces jointes avec des kits d'exploit. Il a également d'autres fonctionnalités malveillantes, y compris le balayage de sites Web pour trouver les vulnérabilités et de voler les données d'authentification stockées sur les ordinateurs.

"Asprox a connu de nombreux changements et modifications qui comprennent des modules de mails, des modules de balayage de site Web et de modules de vole ," a dit Fox-IT. "Cette histoire et l'actualité montrent qu'Asprox est toujours activement développé et utilisé."

Une fois visité un site d'hébergement de l'annonce malveillantes, les utilisateurs sont redirigés vers [.] Femmotion [.] Com, qui redirige ensuite vers le kit exploiter et sur un certain nombre d'autres domaines, la gloriousdead [.] Com et taggingapp [ .] com.

 "Tous les hôtes de kit d'exploit qui ont été observés utilisent le port 37702. Les kits courants d'exploit utilisent ce  ports car il empêche certains outils de réseau de noter les connexions de HTTP, comme ceux-ci sont typiquement configurés pour surveiller seulement des ports de HTTP, a dit Fox-it. « cela signifie que ce kit d'exploit est bloqué sur beaucoup de réseaux d'entreprise car ils ne tiennent pas compte de la lecture rapide en dehors des ports de HTTP, du port 80 (ou des ports de procuration) normaux et 443 pour le SSL. »

Afin de montrer des publicités ciblées pour les utilisateurs, les annonceurs s'engagent dans un processus d'appel d'offres en temps réel automatique, ce qui rend les publicités malveillantes plus difficiles à suivre. "Dans le cas de cette campagne de malvertising les annonceurs malveillants ont été les plus offrants," a dit Fox-IT.

Les pirates ont utilisé une méthode appelée "reciblage", qui est en fait utilisé par les agences de publicité numérique pour faire tourner les annonces diffusées a un même visiteur quand ils accèdent à une page spécifique à plusieurs reprises.

«Cela fonctionne de la façon suivante lorsque qu'un utilisateur avec un ensemble intéressant de cookies de suivi et d'autres métadonnées pour une certaine adprovider est retargetted de la teneur en publicité originale sur le site pour les données modifiées ou personnalisées,« ont dit les chercheurs Fox-IT. "Nous avons vu des exemples où le site qui a contribué à rediriger l'annonce pour infecter un utilisateur n'avait aucune idée qu'il aidait à la livraison de certains contenus pour certain fournisseur d'annonce. »

Partager cet article

Repost 0
Pour être informé des derniers articles, inscrivez vous :

Commenter cet article