IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Une campagne de publicités vérolées ciblant les utilisateurs Windows et OS X


Sujet :

Sécurité

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    6 200
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 6 200
    Points : 149 388
    Points
    149 388
    Par défaut Une campagne de publicités vérolées ciblant les utilisateurs Windows et OS X
    Une campagne de publicités vérolées ciblant les utilisateurs Windows et OS X
    sévit sur Yahoo, YouTube, Amazon et d'autres sites

    Selon des chercheurs de Cisco, une nouvelle campagne de diffusion de malware via des publicités vérolées a été découverte et affecte au total 74 domaines, parmi lesquels amazon.com, ads.yahoo.com, youtube.com, javaupdating.com ou encore winrar.com.

    Talos Security Research a découvert une campagne à grande échelle de malvertising (ou malware advertising), une méthode permettant à un hacker de s’appuyer sur la publicité pour télécharger son malware. A cause du nom de centaines de sous-domaines appartenant à ce réseau, plus précisément « stan.mxp2099.com » et « kyle.mxp2038.com », les chercheurs de Cisco ont décidé de baptiser cette campagne « Kyle and Stan ».

    Concrètement, même si l’attaque avait plusieurs variantes, voici les étapes autour desquelles chacune d’elles gravitait :

    1. l’utilisateur visite une page avec une publicité vérolée ;
    2. il est ensuite redirigé vers un site différent qui effectuera une redirection en fonction du paramètre user agent : suivant que l’utilisateur se trouve sur Windows ou sur Mac, il sera redirigé vers le malware approprié pour affecter son système d’exploitation ;
    3. la page finale amorce le téléchargement du fichier vérolé.



    Une fois les victimes redirigées vers l’URL finale, le site lance automatiquement le téléchargement d’une pièce unique de malware pour chaque utilisateur. Le fichier se présentera sous la forme d’un logiciel légitime, comme un lecteur média, et embarquera le malware ainsi qu’une configuration unique pour chaque utilisateur. « Les attaquants se basent totalement sur des techniques de social engineering afin d’amener l’utilisateur à installer le package logiciel », expliquent les chercheurs.

    La taille du réseau « Kyle and Stan » est difficile à estimer. Cependant, les chercheurs ont pu trouver jusqu’à présent plus de 700 domaines affiliés à ce réseau, même s’ils estiment qu’ils ne doivent probablement être que la partie émergée de l’iceberg. « Le processus pourrait être automatisé, ce qui facilite la création d’un grand nombre de domaines », ont avancé les chercheurs.

    « Le nombre important de domaines permet à des hackers d’utiliser un domaine particulier sur un temps très limité, de le détruire et d'en utiliser un autre en vue des prochaines attaques », a expliqué Armin Pelkmann, co-auteur de la recherche. Chaque malware déployé dispose d'une empreinte unique « ce qui permet de contourner les solutions de sécurité qui se basent sur la réputation et les listes noires », a-t-il expliqué.

    Cisco n’a pas identifié le réseau d’annonces qui sert de relai à la transmission des publicités vérolées. Bien que les régies publicitaires essaient de filtrer les annonces qui sont diffusées, il arrive occasionnellement que des annonces vérolées passent entre les mailles, ce qui est équivalent à un grand nombre de victimes potentielles pour un site avec un fort trafic.

    « Kyle and Stan » est en activité depuis le 05 mai et les activités les plus importantes ont été enregistrées entre la mi-juin et début juillet, mais les attaques continuent d’être perpétrées. Une liste complète des domaines référents au réseau « Kyle and Stan » est disponible sur le blog de Cisco.

    Source : blog Cisco

    Et vous ?

    Qu'en pensez-vous ?
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre régulier
    Homme Profil pro
    Big Head IT Manager
    Inscrit en
    août 2014
    Messages
    20
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Ille et Vilaine (Bretagne)

    Informations professionnelles :
    Activité : Big Head IT Manager

    Informations forums :
    Inscription : août 2014
    Messages : 20
    Points : 115
    Points
    115
    Par défaut
    Une fois les victimes redirigées vers l’URL finale, le site lance automatiquement le téléchargement d’une pièce unique de malware pour chaque utilisateur. Le fichier se présentera sous la forme d’un logiciel légitime, comme un lecteur média, et embarquera le malware ainsi qu’une configuration unique pour chaque utilisateur. « Les attaquants se basent totalement sur des techniques de social engineering afin d’amener l’utilisateur à installer le package logiciel », expliquent les chercheurs.
    Le téléchargement du logiciel se fait tout seul mais son exécution est lancée par l'utilisateur.

    J'ai un peu de mal à comprendre comment ils peuvent faire pour inciter le lancement du package, perso si je regarde mes mails et qu'on me demande d'installer un lecteur media je vais trouver ça louche...
    Je sous estime certainement le "social engineering".

    Je vais changer mon user agent et me mettre un truc exotique

  3. #3
    Expert confirmé Avatar de Zefling
    Homme Profil pro
    Développeur Web
    Inscrit en
    avril 2007
    Messages
    1 107
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Puy de Dôme (Auvergne)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : avril 2007
    Messages : 1 107
    Points : 4 244
    Points
    4 244
    Par défaut
    kipkip, merci d'arrêter de croire que tout le monde est toi. Une bonne partie de malware fonctionnent sur la crédulité de l'utilisateur et s'ils continuent c'est que ça fonctionne. Hélas....

  4. #4
    Rédacteur
    Avatar de imikado
    Homme Profil pro
    Développeur informatique
    Inscrit en
    décembre 2006
    Messages
    5 235
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 39
    Localisation : France, Val de Marne (Île de France)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : Finance

    Informations forums :
    Inscription : décembre 2006
    Messages : 5 235
    Points : 19 557
    Points
    19 557
    Billets dans le blog
    17
    Par défaut
    Le plus vicieux, ce sont les macros: vous faites télécharger à la victime un powerpoint (avec une macro malicieuse) avec un nom générique (perles du bac...)
    A un moment, l'utilisateur va faire le ménage dans son repertoire de téléchargements et cliquer innocemment sur ce powerpoint qu'il pense avoir recu d'un collègue/ami

    Les macros permettent énormément de choses, c'est très inquiétant d'ailleurs que l'on ne puisse pas, comme sur Android définir les droits qu'on lui accorde
    Framework php sécurisé et simple à prendre en main avec générateur web http://mkframework.com/ (hebergé sur developpez.com)
    Mes cours/tutoriaux

  5. #5
    Membre averti
    Profil pro
    Inscrit en
    octobre 2010
    Messages
    183
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : octobre 2010
    Messages : 183
    Points : 409
    Points
    409
    Par défaut
    Citation Envoyé par imikado Voir le message
    Le plus vicieux, ce sont les macros
    Effectivement les néophytes ne se méfient que des .exe alors que pleins d'autres fichiers peuvent contenir du code exécutable: doc, xls, pdf, js, bat, com(vicieux le .com) ... Par contre il me semble que les macros ne s’exécutent plus automatiquement au lancement d'un document office depuis longtemps.

  6. #6
    Membre averti
    Profil pro
    Inscrit en
    octobre 2010
    Messages
    183
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : octobre 2010
    Messages : 183
    Points : 409
    Points
    409
    Par défaut
    Citation Envoyé par kipkip Voir le message
    Je sous estime certainement le "social engineering".
    Tout le monde n'est pas professionnel de l'informatique... Et même certains pourraient se laisser attraper par un document.doc.exe sont l'icone a été remplacée, surtout si par défaut les extensions ne sont pas affichées...

  7. #7
    Rédacteur
    Avatar de imikado
    Homme Profil pro
    Développeur informatique
    Inscrit en
    décembre 2006
    Messages
    5 235
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 39
    Localisation : France, Val de Marne (Île de France)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : Finance

    Informations forums :
    Inscription : décembre 2006
    Messages : 5 235
    Points : 19 557
    Points
    19 557
    Billets dans le blog
    17
    Par défaut
    Citation Envoyé par miky55 Voir le message
    Effectivement les néophytes ne se méfient que des .exe alors que pleins d'autres fichiers peuvent contenir du code exécutable: doc, xls, pdf, js, bat, com(vicieux le .com) ... Par contre il me semble que les macros ne s’exécutent plus automatiquement au lancement d'un document office depuis longtemps.
    Et non
    Cela dépend du paramétrage, dans beaucoup de boites on utilise des macros dans le métier, et donc sur l'ensemble du parc, la suite Office a les macros d'activés
    Je parle en connaissance de cause, on a déjà eu des blagues d'excel ou powerpoint qui nous changeait le fond d'écran (copie d'un fichier sur son pc + paramétrage du fond d'écran pour utiliser celle-ci)

    De plus, dans le cas contraire, on peut recevoir des powerpoints/excel de jeux (QCM) ou pour les paris sportifs (comme lors de la précédente coupe du monde) qui demande l'activation des macros (pour faire le calcul) et qui font autre chose de malicieux en background
    Framework php sécurisé et simple à prendre en main avec générateur web http://mkframework.com/ (hebergé sur developpez.com)
    Mes cours/tutoriaux

  8. #8
    Rédacteur
    Avatar de imikado
    Homme Profil pro
    Développeur informatique
    Inscrit en
    décembre 2006
    Messages
    5 235
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 39
    Localisation : France, Val de Marne (Île de France)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : Finance

    Informations forums :
    Inscription : décembre 2006
    Messages : 5 235
    Points : 19 557
    Points
    19 557
    Billets dans le blog
    17
    Par défaut
    Citation Envoyé par miky55 Voir le message
    Tout le monde n'est pas professionnel de l'informatique... Et même certains pourraient se laisser attraper par un document.doc.exe sont l'icone a été remplacée, surtout si par défaut les extensions ne sont pas affichées...
    En effet le masquage de l'extension réel des fichiers est une aubaine pour les pirates
    Framework php sécurisé et simple à prendre en main avec générateur web http://mkframework.com/ (hebergé sur developpez.com)
    Mes cours/tutoriaux

  9. #9
    Expert éminent
    Avatar de Matthieu Vergne
    Homme Profil pro
    Consultant IT, chercheur IA indépendant
    Inscrit en
    novembre 2011
    Messages
    2 187
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Consultant IT, chercheur IA indépendant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : novembre 2011
    Messages : 2 187
    Points : 7 347
    Points
    7 347
    Billets dans le blog
    3
    Par défaut
    Ce serait bien que l'auteur utilise un vocabulaire adapté (cracker) plutôt que de faire dans le jargon populaire (hacker). C'est comme ça que les gens finissent par faire des amalgames. Surtout qu'aucun de ces termes n'est utilisé dans l'article source, donc c'est entièrement à la charge de l'auteur FR de choisir un vocabulaire adapté à la situation.
    Site perso
    Recommandations pour débattre sainement

    Références récurrentes :
    The Cambridge Handbook of Expertise and Expert Performance
    L’Art d’avoir toujours raison (ou ce qu'il faut éviter pour pas que je vous saute à la gorge {^_^})

Discussions similaires

  1. Comment faire déconnecter les utilisateurs d'une base
    Par ENIT-Info dans le forum Access
    Réponses: 23
    Dernier message: 28/02/2017, 14h57
  2. Simuler une saisie au clavier en utilisant les API Windows
    Par devvanjier dans le forum Scripts/Batch
    Réponses: 3
    Dernier message: 04/06/2014, 13h11
  3. Réponses: 38
    Dernier message: 26/07/2013, 22h11
  4. Réponses: 33
    Dernier message: 03/04/2013, 15h52
  5. Réponses: 9
    Dernier message: 09/03/2010, 10h57

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo