Discussion :

[Michael Guilloux]

Yahoo! victime d’une vaste campagne de publicités malveillantes
Les attaquants ont encore exploité une vulnérabilité dans Flash

Naviguer sur les sites web qui hébergent des annonces devient une activité de plus en plus risquée lorsque les appareils ne sont pas suffisamment protégés. L’une des techniques vers lesquelles les pirates se tournent progressivement consiste à utiliser des annonces spécialement conçues pour camoufler des malwares ou rediriger les utilisateurs vers des sites piégés.

La semaine dernière, ce sont les visiteurs des sites de Yahoo! qui ont été touchés par une campagne de « malvertising » ou publicités malveillantes. La campagne, qui pourrait avoir affecté des millions de visiteurs, est considérée par Malwarebytes – la firme de sécurité qui l'a découverte – comme « l’une des plus grandes attaques de malvertising que nous avons vue récemment ».

La firme de sécurité estime que « le malvertising est un tueur silencieux, car les annonces malveillantes ne nécessitent aucun type d’interaction de l’utilisateur afin d'exécuter leur charge utile. Le simple fait de naviguer sur un site Web qui a des annonces (et la plupart des sites, si pas tous, en ont) est suffisant pour démarrer la chaîne d’infection ».

Le risque est d’autant plus élevé que le système de la publicité en ligne, avec sa complexité, n’offre pas de mesures de contrôle assez efficaces pour garantir la qualité et la sécurité des annonces. Une entreprise de logiciels malveillants peut ainsi facilement louer un espace publicitaire pour servir des annonces malveillantes, avec pour objectif d’installer des menaces sur les machines des utilisateurs.

Si l’utilisateur n’a pas forcément besoin de cliquer sur les annonces pour être affecté, les attaques nécessitent toutefois d’exploiter des vulnérabilités sur sa machine. Dans cette campagne, les attaquants ont une fois de plus exploité une faille dans Flash ; ce qui confirme le fait que le plugin d’Adobe se présente comme l’un des exploits favoris des pirates.

La firme de sécurité rapporte que ces annonces malveillantes servies par la régie publicitaire de Yahoo! ont redirigé les utilisateurs vers des sites qui les ont exposé au kit d’exploit Angler. Dans certains cas, la menace était hébergée sur des sites web Microsoft Azure.

La société US de services sur internet confirme avoir retiré les annonces malveillantes après en avoir été informée par Malwarebytes. Yahoo! considère cette nouvelle forme d’attaque comme une menace qui risque d’affecter l’industrie de la technologie toute entière, toutefois la société s’engage à faire le nécessaire pour offrir un environnement d’annonces en ligne de qualité. « Yahoo a un engagement de longue date sur cette question et est déterminé à travailler avec nos pairs pour créer une expérience de publicité sécurisée », a répondu Yahoo! à la firme de sécurité. « Nous allons continuer à assurer la qualité et la sécurité de nos annonces grâce à notre test automatisé et à travers le groupe de travail SafeFrame, qui vise à protéger les consommateurs et les éditeurs des risques de sécurité potentiels inhérents à l'écosystème de l’annonce en ligne. »

Source : Malwarebytes

Et vous ?

Que pensez-vous de cette nouvelle forme d’attaque ? Et quelles sont les précautions à prendre ?

[nchal]

Yahoo ? C'est quoi comme site ça ?

[BufferBob]

(...) une campagne de « malvertising » ou publicités malveillantes. (...) Le simple fait de naviguer sur un site Web qui a des annonces (et la plupart des sites, si pas tous, en ont) est suffisant pour démarrer la chaîne d’infection [/I]».

faudrait que l'EFF définisse un nouveau mécanisme, un peu sur le même principe que DNT; on mettrait un champ spécifique dans le header de la requete HTTP pour indiquer aux malwares qu'ils ne doivent pas se propager sur cette machine et hop, plus de problème

[BugFactory]

C'est l’annonceur qui paye, alors pourquoi les régies se préoccuperaient-elles de ce qui arrive aux visiteurs? Elles se contentent du service minimum parce que bloquer des annonces leur fait perdre de l'argent.

Le plus simple est d'installer des bloqueurs de publicité. C'est dommage pour les sites financés par la pub, mais ça vaut mieux que de subir malwares, espionnage et publicités intrusives.

(Au passage, merci à l'équipe Developpez.com d'être plus scrupuleuse, j'ai désactivé Adblock pour votre site.)

[psychadelic]

C'est bien joli de jeter la pierre aux régies publicitaires...

Que Flash soit une vraie passoire, c'est normal ???

[BugFactory]

C'est bien joli de jeter la pierre aux régies publicitaires...

Que Flash soit une vraie passoire, c'est normal ???

Non, ce n'est pas normal que Flash soit une vrai passoire. Et donc, ce n'est pas normal de s'en servir sans raison. De plus, Flash est loin d'être le seul problème avec les régies publicitaires.

[psychadelic]

Non, ce n'est pas normal que Flash soit une vrai passoire. Et donc, ce n'est pas normal de s'en servir sans raison. De plus, Flash est loin d'être le seul problème avec les régies publicitaires.

Ce sont les annonceurs, ou les agences de pub qui se servent de Flash, pas les régies publicitaires..

https://fr.wikipedia.org/wiki/Régie_publicitaire

[Stéphane le calme]

La vaste campagne de publicités malveillantes qui a été menée sur les sites de Yahoo!
s'est propagée sur d'autres sites présentant un trafic important

Après la vaste campagne de publicités malveillantes qui a touché les visiteurs des sites de Yahoo, des chercheurs en sécurité de MalwareBytes ont découvert une autre campagne d’annonces malveillantes, apparemment menée par les mêmes individus ; l’expert en sécurité a observé le même protocole : les attaques ont a nouveau fait appel au kit d’exploit Angler pour infiltrer les ordinateurs tournant sur Windows via une vulnérabilité dans Adobe Flash ainsi que les navigateurs.

Des sites à gros trafic comme weather.com (121 millions de visites par mois), drudgereport.com (61,8 millions de visites par mois) ou encore wunderground.com (49,9 millions de visites par mois) ont apparemment intégré par inadvertance ces annonces malveillantes, exposant ainsi les ordinateurs de millions d’internautes à des risques en matière de sécurité.

MalwareBytes a expliqué que le réseau qui a dispatché les annonces, AdSpirit, a été informé et a aussitôt retiré les annonces incriminées. « Le malvertising était téléchargé via AdSpirit.de et incluait une redirection vers un site web Azure. Remarquez comment les deux URL font usage du chiffrement HTTPS, rendant difficile la détection d’un trafic malveillant au niveau de la régie », a avancé Jérôme Segura, chercheur senior en sécurité pour le compte de MalwareBytes. La campagne s’est alors rabattue sur l’agence de publicité d’AOL.

Comme l’attaque qui a été lancé sur les sites Yahoo, les annonces malveillantes sont chargées en silence à travers une chaîne de redirection web, puis un script tentait d’exploiter une vulnérabilité logiciel du visiteur pour y installer un package adware ou alors le ransomware CryptoWall.

Une fois que l'annonce est chargée sur la page, l'attaque est lancée sans aucune interaction préalable de l'utilisateur. La désactivation de Flash ou de son exécution automatique dans les paramètres du plugin pourrait réduire le risque d'attaque. Sur Chrome par exemple, il faut vous rendre sur le menu, puis cliquer sur Paramètres > Afficher les paramètres avancés. Une fois dans la section "Confidentialité", cliquez sur le bouton Paramètres de contenu. Puis, dans la section des ‘plug-ins’, il faut sélectionner l’option « me laisser choisir quand exécuter le contenu du plug-in » ; aucun plug-in ne sera alors exécuté automatiquement dans Chrome. Vous pouvez exécuter des plug-ins spécifiques en faisant un clic droit dessus, puis en sélectionnant Exécuter ce plug-in.

Télécharger des mises à jour sur une base régulière pourrait également être d’un grand secours dans la mesure où les kits d’exploits ont plus tendance à viser d’anciennes vulnérabilités que des vulnérabilités zero-day.

Une attaque malveillante similaire faisant appel au ransomware CryptoWall a été observée en 2014, alors que Yahoo! Etait encore une fois utilisé pour déployer les annonces malveillantes. De telles opérations ne signifient pas que les réseaux publicitaires sont eux-mêmes infectés, mais plutôt qu’ils ont été utilisés comme vaisseau pour propager des fichiers qui contiennent le code de l'exploit.

A la suite de son billet, un utilisateur a fait la remarque selon laquelle il n’est donc plus vraiment surprenant que les bloqueurs de publicités gagnent autant en popularité. Et de dire par la suite qu’au lieu de se plaindre des pertes de revenues potentiels (confère les différentes actions en justice amorcées par les annonceurs contre les bloqueurs de publicité), l’industrie de la publicité devrait songer à se réformer. « Ils ont eu suffisamment de temps pour corriger ce problème, mais au lieu de le faire, ils semblaient plus enclin à se plaindre sur combien il était injuste que nous autre utilisions des bloqueurs de publicité ».

Source : blog MalwareBytes

Et vous ?

Qu'en pensez-vous ?

[nchal]

A la suite de son billet, un utilisateur a fait la remarque selon laquelle il n’est donc plus vraiment surprenant que les bloqueurs de publicités gagnent autant en popularité. Et de dire par la suite qu’au lieu de se plaindre des pertes de revenues potentiels (confère les différentes actions en justice amorcées par les annonceurs contre les bloqueurs de publicité), l’industrie de la publicité devrait songer à se réformer. « Ils ont eu suffisamment de temps pour corriger ce problème, mais au lieu de le faire, ils semblaient plus enclin à se plaindre sur combien il était injuste que nous autre utilisions des bloqueurs de publicité ».

Rien à ajouter de plus. Tout est là...