À propos de ce blog

Thèmes Populaires

Mise en garde des autorités, après le démantèlement de 3ve, vaste opération de fraude publicitaire

Guillaume Ortega

28.11.18 4 min de lecture

Aujourd’hui, US-CERT, en coopération avec le FBI et le Département de la sécurité intérieure des États-Unis, a publié un avis concernant un important réseau de fraude publicitaire en ligne. « 3ve » est une vaste opération menée par des cyber criminels. En se servant de logiciels malveillants et d’adresses IP hi-jackées, les pirates ont détourné le trafic internet d’environ 1,7 million d’adresses IP vers des publicités qu’ils contrôlaient. Ils se sont ainsi rempli les poches, avec des revenus publicitaires numériques obtenus frauduleusement.

3ve utilisait deux réseaux de botnets distincts. Le botnet Boaxxe se propageait par le biais de pièces jointes malveillantes et de téléchargements à la dérobée (drive-by). Il était utilisé comme proxy pour les requêtes publicitaires frauduleuses : ces dernières étaient envoyées depuis un centre de données contrôlé par les pirates et situé en Allemagne.

Le réseau botnets Kovter se propageait également par le biais de téléchargements à la dérobée et de pièces jointes malveillantes. Il exécutait sur les ordinateurs infectés un navigateur, mais celui-ci était dissimulé aux utilisateurs. Les pirates utilisaient ensuite leur infrastructure de commande et de contrôle pour diriger le trafic des navigateurs cachés vers leurs publicités.

Paivi Tynninen, Chercheuse chez F-Secure, a étudié les campagnes de malware de 3ve et partagé ses analyses avec une coalition d’organisations policières et informatiques. Ensemble, ils ont mené une opération mondiale de démantèlement de ces botnets.

Pour Paivi Tynninen, les attaques de 3ve sont typiques de notre époque : « 3ve émet un spam d’échec d’envoi de message. Il s’agit d’un vecteur d’attaque courant de nos jours. Les utilisateurs ouvrent une pièce jointe ou cliquent sur un lien et se retrouvent infectés par Kovter, Boaxxe, voire même les deux », explique-t-elle. « 3ve utilise aussi la publicité malveillante qui redirige les utilisateurs vers de fausses mises à jour logicielles, pour les pousser à installer Kovter. Il s’agit d’une tactique d’ingénierie sociale assez populaire. »

Comme l’explique Paivi Tynninen, 3ve a également tenté d’utiliser des kits d’exploit. Toutefois, comme c’est souvent le cas désormais, ce type d’attaque n’a rencontré qu’un succès limité.

« Les kits d’exploit sont en déclin depuis plusieurs années. Les cybercriminels de 3ve, et les pirates de manière générale, misent donc de plus en plus sur le spam », explique-t-elle.

La fraude publicitaire n’effraie pas autant les utilisateurs que d’autres cyber menaces comme les ransomware (logiciels rançonneurs). Pour autant, elle reste particulièrement répandue et très lucrative pour les cyber criminels. En 2016 déjà, une étude prévoyait une augmentation des recettes publicitaires frauduleuses de 150 milliards de dollars par an, d’ici 2025.

Contrairement aux ransomware, la fraude publicitaire reste souvent non-détectée : les pirates peuvent ainsi sévir plus longtemps, sans être inquiétés.

Malgré les apparences, 3ve n’est pas sans danger pour les utilisateurs. Les spams envoyés renferment souvent d’autres logiciels malveillants.

« Nous avons observé des campagnes de spams qui intégraient non seulement Kovter et Boaxxe, mais aussi des ransomware, des chevaux de Troie bancaires et des infostealers. Il est assez courant pour les spammeurs de recourir à des stratégie d’infection multiples », poursuit Paivi Tynninen. « Une fois qu’un appareil est incorporé à un botnet, il se retrouve à la merci d’attaques supplémentaires. »

Les utilisateurs peuvent enrayer 3ve en éliminant toute trace de malware sur leurs ordinateurs, et en optant pour certaines mesures de précaution protégeant contre la plupart des cyber menaces :

Guillaume Ortega

28.11.18 4 min de lecture

Leave a comment

Oops! There was an error posting your comment. Please try again.

Thanks for participating! Your comment will appear once it's approved.

Posting comment...

Your email address will not be published. Required fields are marked *

Publications connexes

Newsletter modal

Merci de votre intérêt pour F-Secure. Vous recevrez bientôt un email pour confirmer votre abonnement à la newsletter.

Gated Content modal

Félicitations – Vous pouvez maintenant accéder à votre contenu en cliquant sur le bouton ci-dessous.