Articles

Diffusion de publicités malveillantes via ads.yahoo.com

L’ensemble de l’équipe du laboratoire Cyberprotect souhaite profiter de cet article pour vous souhaiter une excellente année 2014.

Santé, bonheur et réussite sont les meilleures choses que l’on peut vous souhaiter.

L’année commence fort en matière de cybersécurité… voici un bulletin d’alerte envoyé ce matin à nos clients.

Nous avons détecter depuis le 02 Janvier 2014, une campagne de publicités malveillantes (appelée aussi malvertising) qui se propage via des sites à fortes audiences.

Petit rappel sur le malvertising http://labo.cyberprotect.fr/?p=1381

Des publicités diffusées par ads.yahoo[.]com redirige la navigation de l’utilisateur, à son insu, vers des sites malveillants dans le but de télécharger des fichiers malveillants sans que l’utilisateur ne s’en rende compte.

Ainsi, ces publicités ont été détecté sur plusieurs sites Internet légitimes.

Aussi, au cours de la dernière semaine de l’année 2013, nous avons détecté des publicités malveillantes sur des serveurs OpenX. Ce que nous avions déjà détecté en Mars 2013 (http://labo.cyberprotect.fr/?p=1400).

A l’époque, les fichiers sources distribués par OpenX avait été compromis et l’éditeur les diffusait (cf https://twitter.com/Cyberprotect/status/365396790574448641).

Aujourd’hui, une vulnérabilité visant OpenX est en cours d’exploitation (cf https://twitter.com/Cyberprotect/status/413941103121817600)

Dans ces deux cas (Yahoo et OpenX), les redirections malveillantes ont majoritairement pour but de télécharger des archives Java malveillantes.

Nous ne pouvons que répéter d’être particulièrement vigilant sur les mises à jour de Java sur les postes présents sur votre réseau.

Le travail de prévention que nous faisons ensemble permet de réduire considérablement le taux de compromission.

Nous recommandons de bloquer les éléments suivants sur vos différents équipements de sécurité :

 – Adresses IP :
192.133.137.0/24

193.169.245.77

– Domaine : ads.yahoo.com

Parallèlement, nous constatons une augmentation significative du nombre de sites Internet légitimes ayant été piratés et injectés par des scripts malveillants qui redirige vers des virus.

Soyez vigilant et maintenez vos postes de travail à jour.

Nos équipes prennent régulièrement contact avec les responsables des sites Internet touchés par ces piratages afin de les informer de leurs problèmes.

N’hésitez pas à diffuser ces recommandations à vos contacts.

[MàJ 18/04/2013] – [Bulletin d’alerte Cyberprotect] Campagne d’infection en cours

MàJ 18/04/2013

La menace reste toujours extrêmement élevée à ce jour. Nous avons constaté une grande vague de publicités malveillants suite à la diffusion d’une newletter par email de la part de l’un des leader de la vente de chaussure en ligne.

Suite à un changement d’adresse IP des serveurs malveillants, nous vous recommandons de bloquer la plage d’adresse Ip publique suivante sur vos équipements de sécurité périmétriques (pare-feu/proxy…) : 193.0.178.0/24

Lire la suite

Campagne de malvertising, explications et retour d’expérience

Lors de la journée du 19/02/2013, nous avons relevé de nombreuses redirections vers des sites malveillants chez nos clients. La cause : une campagne de malvertising bien ficelée et qui se propage via des sites accueillant beaucoup de visiteurs. L’occasion de sensibiliser un peu plus les internautes sur ce danger.

Le principe du malvertising est simple, une publicité s’affiche sur un site légitime. La publicité peut tout à fait être légitime et elle peut rediriger sur un site de confiance. Toutefois, dans le code source de la publicité nous allons trouver un bout de code malveillant qui va rediriger l’internaute vers un site malveillant.

Selon un très récent rapport de Cisco, la publicité sur internet serait 182 fois plus susceptible de diffuser des programmes malveillants que les sites pornographiques. [source]

La manipulation est totalement transparente pour l’utilisateur puisque la redirection malveillante s’affiche dans une iframe aux dimensions “nulles” (hauteur et largeur = 0px).

Le but principal des redirections est, comme bien souvent, le téléchargement d’une archive Java ou d’un fichier PDF malveillant exploitant une vulnérabilité connue du logiciel.

malvertising

 

 

 

 

 

 

 

 

 

 

 

Parmi les sites d’origines notre laboratoire a trouvé : le site d’un salon international qui a lieu ces jours-ci à Paris, celui d’un autre grand salon parisien qui se déroulera en 2014, le site d’un vendeur de matériel informatique, un annuaire en ligne professionnel.

Prêt de 40% de nos clients ont été impactés par ces redirections.

Cependant, notre gestion préventive de la sécurité nous a permis de limiter au maximum les infections (une seule infection détectée et supprimée en 1h).

Bien que l’entreprise soit équipée de pare-feu et d’antivirus à jour, ces équipements ne sont pas à l’abri d’être contourné. Outils de bases de la sécurité, ces éléments sont indispensables mais ne suffisent plus à eux seuls.

En procédant à un audit permanent du parc informatique de l’entreprise, en analysant le trafic entrant et sortant, nous pouvons détecter les machines ne possédant pas la dernière version du logiciel Java. Aussi, dans le cas d’une infection, nous sommes capables d’alerter en moins d’une heure l’utilisateur en donnant le type de malware en cause.

Requêtes HTTP, DNS, code source des pages web, type de fichiers téléchargés, adresses IP contactées, noms de domaines appelés, structures des URI,… tout est analysé en temps réel et comparé à notre base de connaissances afin de détecter un comportement non légitime et anormal.

En moins de deux heures, nous faisons l’analyse des évènements qui se sont déroulés sur la machine compromise et comprendre l’origine, la méthode d’infection et analyser le fichier malveillant pour comprendre qu’elles ont été les vulnérabilités exploitées.

Dans le même temps, notre laboratoire et notre Centre d’Opérations enrichissent le moteur d’intelligence en temps réel afin de réaliser un profil comportementale des infections et pouvoir protéger nos clients. L’analyse comportementale se fait pré et post infection.