Un chercheur en sécurité de Malwarebytes a récemment été déconcerté par la cyberattaque qu'il était en train d’étudier. Il ne pouvait pas la tracer depuis l’ordinateur du laboratoire. Jérôme Segura étudie souvent les publicités malveillantes. Celles-ci sont introduites sur les réseaux publicitaires légitimes afin d'apparaitre sur des sites web et peuvent infecter l’ordinateur d’un visiteur avec un malware. Ce type d'attaque est particulièrement insidieux, car il suffit que le visiteur affiche la publicité pour que son ordinateur, s’il présente une vulnérabilité logicielle, soit infecté. « Nous savions qu'il se passait quelque chose de différent », a expliqué Jérôme Segura dans un entretien téléphonique avec IDG News Service. Le problème c’est qu'ils n’ont pas pu répliquer l'attaque en regardant la publicité malveillante. C’est comme si les assaillants savaient qu'ils étaient surveillés.

Les cyberattaquants profilent souvent des machines – un processus connu sous le nom de « fingerprinting » - pour attaquer les systèmes utilisés par les chercheurs en sécurité. Les ordinateurs qui ont certaines adresses IP ou utilisent des réseaux VPN, ou bien les serveurs qui font tourner des machines virtuelles ne seront pas ciblés. Pour parvenir à étudier l’attaque, Jérôme Segura est rentré chez lui et a utilisé son ordinateur personnel et non celui du laboratoire de Malwarebytes. La publicité suspecte contenait une image GIF de un pixel par un pixel. C’est inhabituel, car en général, les pixels sont utilisés à des fins de suivi. Mais l’image contenait en fait du code JavaScript exploitant une vulnérabilité se trouvant dans d’anciennes versions non corrigées du navigateur Internet Explorer, a expliqué le chercheur. Cette faille (CVE-2013-7331) peut être mise à profit pour examiner le système de fichiers d’un ordinateur afin de vérifier la présence de programmes anti-virus. Selon le cas, l’utilisateur est redirigé par la publicité vers un serveur exécutant le kit d’exploit Angler.

De faux domaines et profils LinkedIn mis en place à l'avance

Une reconnaissance rapide des victimes potentielles n’est pas inhabituelle chez les attaquants. Mais le chercheur dit que cette fois-ci, ils ont pris d'autres mesures qui rendent très difficile la détection des mauvais comportements par les réseaux publicitaires et les chercheurs en sécurité. De plus, la publicité malveillante, y compris celle d’un pixel par un pixel, a été délivrée au-dessus du protocole SSL/TLS, ce qui complique un peu plus la détection d’un comportement potentiellement malveillant. La publicité indélicate a été acheminée par DoubleClick de Google et par des dizaines d'autres réseaux publicitaires.

Il semble que les assaillants avaient mis en place de faux domaines et même de faux profils LinkedIn plusieurs mois auparavant pour paraître légitimes avant de livrer leur publicité aux régies publicitaires en ligne. « On voit à quel point ils peuvent tromper leur monde et on imagine le nombre de faux annonceurs qui peuvent opérer », souligne Jérôme Segura. Il a pris contact avec DoubleClick et d'autres régies publicitaires en ligne, mais la publicité malveillante continue à s’afficher à certains endroits. « L’automatisation de la publicité en ligne et le dédale des entreprises du secteur rend difficile le filtrage des publicités malveillantes », explique-t-il. « Les criminels ont compris qu'il était plus facile d'infiltrer un partenaire tiers qui travaille avec Google, mais qui n'a pas nécessairement lemême niveau de contrôle de la sécurité et des procédures aussi strictes ». Malwarebytes a publié une synthèse de ses recherches accessible sur son blog.