Mise en garde des autorités, après le démantèlement de 3ve, vaste opération de fraude publicitaire

Aujourd’hui, US-CERT, en coopération avec le FBI et le Département de la sécurité intérieure des États-Unis, a publié un avis concernant un important réseau de fraude publicitaire en ligne. « 3ve » est une vaste opération menée par des cyber criminels. En se servant de logiciels malveillants et d’adresses IP hi-jackées, les pirates ont détourné le trafic internet d’environ 1,7 million d’adresses IP vers des publicités qu’ils contrôlaient. Ils se sont ainsi rempli les poches, avec des revenus publicitaires numériques obtenus frauduleusement.

3ve utilisait deux réseaux de botnets distincts. Le botnet Boaxxe se propageait par le biais de pièces jointes malveillantes et de téléchargements à la dérobée (drive-by). Il était utilisé comme proxy pour les requêtes publicitaires frauduleuses : ces dernières étaient envoyées depuis un centre de données contrôlé par les pirates et situé en Allemagne.

Le réseau botnets Kovter se propageait également par le biais de téléchargements à la dérobée et de pièces jointes malveillantes. Il exécutait sur les ordinateurs infectés un navigateur, mais celui-ci était dissimulé aux utilisateurs. Les pirates utilisaient ensuite leur infrastructure de commande et de contrôle pour diriger le trafic des navigateurs cachés vers leurs publicités.

Paivi Tynninen, Chercheuse chez F-Secure, a étudié les campagnes de malware de 3ve et partagé ses analyses avec une coalition d’organisations policières et informatiques. Ensemble, ils ont mené une opération mondiale de démantèlement de ces botnets.

Pour Paivi Tynninen, les attaques de 3ve sont typiques de notre époque : « 3ve émet un spam d’échec d’envoi de message. Il s’agit d’un vecteur d’attaque courant de nos jours. Les utilisateurs ouvrent une pièce jointe ou cliquent sur un lien et se retrouvent infectés par Kovter, Boaxxe, voire même les deux », explique-t-elle. « 3ve utilise aussi la publicité malveillante qui redirige les utilisateurs vers de fausses mises à jour logicielles, pour les pousser à installer Kovter. Il s’agit d’une tactique d’ingénierie sociale assez populaire. »

Comme l’explique Paivi Tynninen, 3ve a également tenté d’utiliser des kits d’exploit. Toutefois, comme c’est souvent le cas désormais, ce type d’attaque n’a rencontré qu’un succès limité.

« Les kits d’exploit sont en déclin depuis plusieurs années. Les cybercriminels de 3ve, et les pirates de manière générale, misent donc de plus en plus sur le spam », explique-t-elle.

La fraude publicitaire n’effraie pas autant les utilisateurs que d’autres cyber menaces comme les ransomware (logiciels rançonneurs). Pour autant, elle reste particulièrement répandue et très lucrative pour les cyber criminels. En 2016 déjà, une étude prévoyait une augmentation des recettes publicitaires frauduleuses de 150 milliards de dollars par an, d’ici 2025.

Contrairement aux ransomware, la fraude publicitaire reste souvent non-détectée : les pirates peuvent ainsi sévir plus longtemps, sans être inquiétés.

Malgré les apparences, 3ve n’est pas sans danger pour les utilisateurs. Les spams envoyés renferment souvent d’autres logiciels malveillants.

« Nous avons observé des campagnes de spams qui intégraient non seulement Kovter et Boaxxe, mais aussi des ransomware, des chevaux de Troie bancaires et des infostealers. Il est assez courant pour les spammeurs de recourir à des stratégie d’infection multiples », poursuit Paivi Tynninen. « Une fois qu’un appareil est incorporé à un botnet, il se retrouve à la merci d’attaques supplémentaires. »

Les utilisateurs peuvent enrayer 3ve en éliminant toute trace de malware sur leurs ordinateurs, et en optant pour certaines mesures de précaution protégeant contre la plupart des cyber menaces :

• Utilisez un logiciel de cyber sécurité fiable, de manière à assurer une protection complète de vos appareils.
• Si vous n’utilisez pas de logiciel de sécurité et que vous craignez une infection par un logiciel malveillant, vérifiez votre appareil à l’aide de F-Secure Online Scanner. Ce scan est gratuit et identifié par US-CERT comme outil de décontamination efficace. Pour mieux lutter contre la cyber criminalité, conseillez à vos amis et à votre famille de faire de même.
• Soyez prudent lorsque vous cliquez sur des pièces jointes et liens contenus dans des e-mails. Le spam constitue la méthode la plus courante de propagation des malware (Lisez ce post pour découvrir nos conseils permettant de déceler les spams).
• Utilisez des mots de passe suffisamment complexes et différents pour chaque service. Vous rendrez la tâche bien plus difficile aux pirates.
• Mettez toujours à jour votre système d’exploitation et vos logiciels