santiago silver - Fotolia
Un rançongiciel caché dans les publicités de sites majeurs
Des publicités sont utilisées sur des sites Web anglophones très populaires pour diffuser un ransomware, grâce au kit d’exploitation de vulnérabilités Angler.
Des rançongiciels à chiffrement ont été surpris cachés dans des publicités affichées par des sites Web très populaires, dont ceux de la BBC, du New York Times, de MSN, ou encore d’AOL.
L’agence nationale britannique de lutte contre la criminalité et le FBI ont lancé des alertes au sujet d’un pic soudain de diffusion de rançongiciels. Le 4 mars dernier, le ministère français de l’Intérieur faisait de même.
Lancée le week-end dernier, une nouvelle campagne de diffusion de rançongiciels ne s’appuie pas sur des e-mails malveillants mais sur des publicités. Mettant à profit le kit d’exploitation de vulnérabilités Angler, les attaques ciblent des vulnérabilités dans Flash et Silverlight, notamment, pour diffuser leur logiciel malveillant, comme l’explique Trend Micro dans un billet de blog.
Une fois chargée par le navigateur Web, la publicité compromise – on parle aussi de malvertising – renvoie vers un site Web malicieux où le kit Angler est là effectivement employé pour infecter la machine de l’internaute.
Ben Harknett, vice-président Europe de RiskIQ, souligne que le malvertising se matérialise généralement sous la forme de publicité d’apparence légitime, créées par des cybercriminels : « malheureusement, utiliser le malvertising pour diffuser de manière furtive des logiciels malveillants est de plus en plus populaire. Selon une étude que nous avons récemment menée, le recours à cette pratique a progressé de 300 % entre 2014 et 2015, en s’appuyant sur des sites Web majeurs tels que Forbes.com, le Huffington Post, et le Daily Mail ». Selon lui, le cas le plus courant consiste à faire croire à l’internaute qu’il doit mettre à jour Flash.
Selon Trustwave, cette nouvelle campagne de malvertising a mis à profit Angler pour distribuer le cheval de Troie Bedep et le rançongiciel TeslaCrypt. De son côté, Trend Micro relève que les sites grand public initialement impliqués à leur insu dans cette campagne ne diffusent plus lesdites publicités malveillantes – les régies publicitaires concernées sont intervenues. Mais selon l’éditeur, la campagne n’est pas finie et continue de menacer les internautes.
Pour se protéger, les consultants en sécurité recommandent non seulement de maintenir à jour applications et systèmes d’exploitation, mais également de désactiver les extensions de navigateur Web telles que Flash, Java et Silvelight, autant que possible.
Adapté de l’anglais.