« Ces derniers jours, des dizaines de milliers de navigateurs web ont peut-être été exposés à un ransomware et à d’autres logiciels malveillants après l’apparition de publicités malveillantes sur des sites web très populaires », ont déclaré hier des éditeurs de solutions de sécurité. Les publicités malveillantes sont connectées à des serveurs hébergeant le kit d’exploit Angler. « Le logiciel cherche les vulnérabilités logicielles sur l’ordinateur connecté afin d’y introduire des logiciels malveillants », a déclaré Trend Micro. Hier, le vendeur de solutions de sécurité Trustwave a également signalé qu’il avait détecté une grande campagne de malvertising liée à Angler. On ne sait pas de façon claire si les deux vendeurs parlaient ou non de la même campagne. Mais, dans les messages postés sur leurs blogs respectifs, tous deux font remarquer que la campagne sert à déployer une porte dérobée appelée Bedep, qui permet à un attaquant d’introduire d'autres logiciels malveillants sur un ordinateur. Trustwave précise également que dans certains cas, l'attaque introduit en même temps la porte dérobée Bedep et le ransomware TeslaCrypt qui chiffre les fichiers de la machine et demande une rançon en échange la clef de décryptage.

Selon Trustwave, les attaquants ont sans doute pris le contrôle d'un domaine légitime appelé « brentsmedia.com », qui a pu être utilisé dans le passé pour délivrer de la publicité en ligne. « BrentsMedia était probablement une entreprise légale, et même si nous ne pouvons pas avoir la version des pirates qui utilisent Angler, il est probable qu’ils essaient de profiter de la bonne réputation du domaine pour abuser et tromper certaines régies publicitaires et faire passer leurs annonces malveillantes », a écrit Trustwave. « Plusieurs sites web très importants ont trouvé un fichier JSON provenant de brentsmedia.com dans les annonces affichées sur leurs sites », a encore expliqué Trustwave. Le fichier JSON comportait 12 000 lignes de code JavaScript très suspectes. Notamment, le code essayait de déterminer si certains produits ou outils de sécurité tournaient sur les ordinateurs connectés. « S’il ne détectait aucune protection, il chargeait une page d’accueil d'un autre domaine sur laquelle était hébergé le kit d’exploit Angler », a encore écrit Trustwave.

Une moyen très rapide pour infecter des milliers de PC 

Les annonces malveillantes ont été hébergées par deux régies publicitaires en ligne. L’une d’elles a immédiatement supprimé la publicité suspecte après avoir été informée de son caractère malveillant par Trustwave. L'autre régie n'a pas pu être jointe. Parmi les sites web touchés, Trustwave cite answers.com et zerohedge.com. Trend Micro n'a pas identifié les éditeurs touchés par la campagne qu’il avait repérés. Les petits éditeurs ont peu de solutions pour arrêter une campagne de malvertising et c’est le rôle des régies publicitaires en ligne de passer au crible et de filtrer les logiciels malveillants. Même si la détection de publicités malveillantes est de plus en plus efficace, elle est encore loin d’être parfaite. En affichant une publicité malveillante sur un site web à fort trafic, un attaquant peut potentiellement infecter de nombreux ordinateurs en un temps très court. C’est qui fait l’intérêt d’une campagne de malvertising, par rapport à une campagne de spamming par exemple.

La campagne Angler détectée par Trend Micro a peut être « affectée des dizaines de milliers d'utilisateurs au cours des dernières 24 heures », a écrit Joseph C. Chen, un chercheur de Trend Micro spécialisé dans la fraude. « D’après ce que nous avons pu observer, les publicités malveillantes ont été délivrées à divers sites par un réseau publicitaire compromis, y compris des sites d’information très fréquentés, des sites de divertissement et des sites sur lesquels ont trouve des analyses politiques », a écrit le chercheur. « Au moment où j’écris ces lignes, il semble que les portails très populaires n’affichent plus de publicités malveillantes, mais la campagne de malvertising est toujours active et continue d’exposer les utilisateurs, c’est-à-dire qu’ils sont toujours susceptibles de télécharger des logiciels malveillants sur leur système », a-t-il déclaré.