Le malware Ripper a permis de retirer 313K€ dans des DAB thailandais avec des cartes spéciales.

L'Image du jour

Le malware Ripper a permis de retirer 313K€ dans des DAB thailandais avec des cartes spéciales.

Silicon Valley 2016 : Cap sur l'innovation technologique (2e partie)

Dernier Dossier

Silicon Valley 2016 : Cap sur l'innovation technologique (2e partie)

En juin dernier, nous avons passé un peu de temps à San Francisco et dans la Silicon Valley avec une dizaine de journalistes européens pour les derniè...

Restez proche de l'actualité IT

NEWSLETTERS THEMATIQUES

Découvrez nos différentes newsletters adaptées à vos besoins d'actualités IT Pro : Mobilité, Réseaux, Stockages, ...

Abonnez-vous 
FERMER

LMI MARKET

Votre comparateur de prestataires IT : Comparez les devis, Evaluez les prestataires, Trouvez le juste prix!...

Accéder à ce service 

BLOG

Découvrez les contenus exclusifs publiés par les lecteurs du Monde Informatique avec la plateforme LMI Blog...

Accéder à ce service 

COMPARATEUR DE SALAIRE

Partagez votre situation salariale anonymement, consultez les statistiques depuis 2009 et faites vos propres analyses...

Accéder à ce service 

IT TOUR

LMI vous invite à sa Matinée-Débats dans votre région.
Inscrivez-vous

Accéder au site 
FERMER
1
Réagissez Imprimer Envoyer

Une campagne de malvertising expose d'importants sites web au kit d'exploit Angler

 Le site Brentsmedia.com diffuse des malwares vers des postes de travail et il ne s'agit pas d'un faux positif.

Le site Brentsmedia.com diffuse des malwares vers des postes de travail et il ne s'agit pas d'un faux positif.

Certaines attaques contre des sites web ont permis d'installer une porte dérobée appelée BEDEP ou de libérer le ransomware TeslaCrypt.

« Ces derniers jours, des dizaines de milliers de navigateurs web ont peut-être été exposés à un ransomware et à d’autres logiciels malveillants après l’apparition de publicités malveillantes sur des sites web très populaires », ont déclaré hier des éditeurs de solutions de sécurité. Les publicités malveillantes sont connectées à des serveurs hébergeant le kit d’exploit Angler. « Le logiciel cherche les vulnérabilités logicielles sur l’ordinateur connecté afin d’y introduire des logiciels malveillants », a déclaré Trend Micro. Hier, le vendeur de solutions de sécurité Trustwave a également signalé qu’il avait détecté une grande campagne de malvertising liée à Angler. On ne sait pas de façon claire si les deux vendeurs parlaient ou non de la même campagne. Mais, dans les messages postés sur leurs blogs respectifs, tous deux font remarquer que la campagne sert à déployer une porte dérobée appelée Bedep, qui permet à un attaquant d’introduire d'autres logiciels malveillants sur un ordinateur. Trustwave précise également que dans certains cas, l'attaque introduit en même temps la porte dérobée Bedep et le ransomware TeslaCrypt qui chiffre les fichiers de la machine et demande une rançon en échange la clef de décryptage.

Selon Trustwave, les attaquants ont sans doute pris le contrôle d'un domaine légitime appelé « brentsmedia.com », qui a pu être utilisé dans le passé pour délivrer de la publicité en ligne. « BrentsMedia était probablement une entreprise légale, et même si nous ne pouvons pas avoir la version des pirates qui utilisent Angler, il est probable qu’ils essaient de profiter de la bonne réputation du domaine pour abuser et tromper certaines régies publicitaires et faire passer leurs annonces malveillantes », a écrit Trustwave. « Plusieurs sites web très importants ont trouvé un fichier JSON provenant de brentsmedia.com dans les annonces affichées sur leurs sites », a encore expliqué Trustwave. Le fichier JSON comportait 12 000 lignes de code JavaScript très suspectes. Notamment, le code essayait de déterminer si certains produits ou outils de sécurité tournaient sur les ordinateurs connectés. « S’il ne détectait aucune protection, il chargeait une page d’accueil d'un autre domaine sur laquelle était hébergé le kit d’exploit Angler », a encore écrit Trustwave.

Une moyen très rapide pour infecter des milliers de PC 

Les annonces malveillantes ont été hébergées par deux régies publicitaires en ligne. L’une d’elles a immédiatement supprimé la publicité suspecte après avoir été informée de son caractère malveillant par Trustwave. L'autre régie n'a pas pu être jointe. Parmi les sites web touchés, Trustwave cite answers.com et zerohedge.com. Trend Micro n'a pas identifié les éditeurs touchés par la campagne qu’il avait repérés. Les petits éditeurs ont peu de solutions pour arrêter une campagne de malvertising et c’est le rôle des régies publicitaires en ligne de passer au crible et de filtrer les logiciels malveillants. Même si la détection de publicités malveillantes est de plus en plus efficace, elle est encore loin d’être parfaite. En affichant une publicité malveillante sur un site web à fort trafic, un attaquant peut potentiellement infecter de nombreux ordinateurs en un temps très court. C’est qui fait l’intérêt d’une campagne de malvertising, par rapport à une campagne de spamming par exemple.

La campagne Angler détectée par Trend Micro a peut être « affectée des dizaines de milliers d'utilisateurs au cours des dernières 24 heures », a écrit Joseph C. Chen, un chercheur de Trend Micro spécialisé dans la fraude. « D’après ce que nous avons pu observer, les publicités malveillantes ont été délivrées à divers sites par un réseau publicitaire compromis, y compris des sites d’information très fréquentés, des sites de divertissement et des sites sur lesquels ont trouve des analyses politiques », a écrit le chercheur. « Au moment où j’écris ces lignes, il semble que les portails très populaires n’affichent plus de publicités malveillantes, mais la campagne de malvertising est toujours active et continue d’exposer les utilisateurs, c’est-à-dire qu’ils sont toujours susceptibles de télécharger des logiciels malveillants sur leur système », a-t-il déclaré.

COMMENTAIRES de l'ARTICLE1

le 16/03/2016 à 09h04 par Visiteur8159 :

0 indication sur la conduite à tenir. Ou est l'intérêt ?

Signaler un abus

Commenter cet article

commenter cet article en tant que membre LMI

CONNEXION

Commenter cet article en tant que visiteur






* Les liens HTML sont interdits dans les commentaires

Publicité
Publicité
Publicité