Campagne de malvertising, explications et retour d’expérience

Lors de la journée du 19/02/2013, nous avons relevé de nombreuses redirections vers des sites malveillants chez nos clients. La cause : une campagne de malvertising bien ficelée et qui se propage via des sites accueillant beaucoup de visiteurs. L’occasion de sensibiliser un peu plus les internautes sur ce danger. Le principe du malvertising est…

Lors de la journée du 19/02/2013, nous avons relevé de nombreuses redirections vers des sites malveillants chez nos clients. La cause : une campagne de malvertising bien ficelée et qui se propage via des sites accueillant beaucoup de visiteurs. L’occasion de sensibiliser un peu plus les internautes sur ce danger.

Le principe du malvertising est simple, une publicité s’affiche sur un site légitime. La publicité peut tout à fait être légitime et elle peut rediriger sur un site de confiance. Toutefois, dans le code source de la publicité nous allons trouver un bout de code malveillant qui va rediriger l’internaute vers un site malveillant.

Selon un très récent rapport de Cisco, la publicité sur internet serait 182 fois plus susceptible de diffuser des programmes malveillants que les sites pornographiques. [source]

La manipulation est totalement transparente pour l’utilisateur puisque la redirection malveillante s’affiche dans une iframe aux dimensions “nulles” (hauteur et largeur = 0px).

Le but principal des redirections est, comme bien souvent, le téléchargement d’une archive Java ou d’un fichier PDF malveillant exploitant une vulnérabilité connue du logiciel.

malvertising

 

 

 

 

 

 

 

 

 

 

 

Parmi les sites d’origines notre laboratoire a trouvé : le site d’un salon international qui a lieu ces jours-ci à Paris, celui d’un autre grand salon parisien qui se déroulera en 2014, le site d’un vendeur de matériel informatique, un annuaire en ligne professionnel.

Prêt de 40% de nos clients ont été impactés par ces redirections.

Cependant, notre gestion préventive de la sécurité nous a permis de limiter au maximum les infections (une seule infection détectée et supprimée en 1h).

Bien que l’entreprise soit équipée de pare-feu et d’antivirus à jour, ces équipements ne sont pas à l’abri d’être contourné. Outils de bases de la sécurité, ces éléments sont indispensables mais ne suffisent plus à eux seuls.

En procédant à un audit permanent du parc informatique de l’entreprise, en analysant le trafic entrant et sortant, nous pouvons détecter les machines ne possédant pas la dernière version du logiciel Java. Aussi, dans le cas d’une infection, nous sommes capables d’alerter en moins d’une heure l’utilisateur en donnant le type de malware en cause.

Requêtes HTTP, DNS, code source des pages web, type de fichiers téléchargés, adresses IP contactées, noms de domaines appelés, structures des URI,… tout est analysé en temps réel et comparé à notre base de connaissances afin de détecter un comportement non légitime et anormal.

En moins de deux heures, nous faisons l’analyse des évènements qui se sont déroulés sur la machine compromise et comprendre l’origine, la méthode d’infection et analyser le fichier malveillant pour comprendre qu’elles ont été les vulnérabilités exploitées.

Dans le même temps, notre laboratoire et notre Centre d’Opérations enrichissent le moteur d’intelligence en temps réel afin de réaliser un profil comportementale des infections et pouvoir protéger nos clients. L’analyse comportementale se fait pré et post infection.

React