Une campagne utilisant des alertes sur les certificats de sécurité périmés pour tromper les internautes peu méfiants et les inciter à télécharger des malwares a été détectée. Les alertes ont été diffusées sur plusieurs sites web légitimes, mais qui ont été compromis par des cybercriminels.
Lorsque les visiteurs arrivent sur les sites web compromis, ils reçoivent un message d’erreur qui leur indique que le certificat de sécurité numérique a expiré et qu’ils doivent en télécharger un mis à jour. Le téléchargement et l’exécution du fichier entraînent l’installation d’un malware sur l’appareil de l’utilisateur.
Cette tactique de distribution de malwares n’est pas nouvelle. Les cybercriminels utilisent cette méthode depuis des années pour tromper les utilisateurs et les amener à télécharger des malwares sous le guide d’un navigateur ou d’une mise à jour Flash, mais c’est la première fois que des messages d’erreur de certificats de sécurité de sites web expirés sont utilisés pour la distribution de malwares.
Le message d’erreur NET::ERR_CERT_OUT_OF_DATE est transmis par une iframe qui est superposée au site web à l’aide d’un script jquery.js. L’avertissement correspond à la taille de la page d’origine. C’est donc tout ce que le visiteur voit lorsqu’il arrive sur le site web.
S’il veut voir le contenu, il est invité à mettre à jour son certificat de sécurité pour permettre la connexion au site web. Le contenu du message est chargé à partir d’une ressource web tierce, mais l’URL affichée est celle du site web légitime sur lequel l’utilisateur a navigué.
La manière dont les acteurs de la menace ont compromis les sites web n’est pas claire. Souvent, les sites web sont compromis en utilisant des tactiques de force brute pour deviner des mots de passe faibles. Il est également possible d’utiliser des kits d’exploitation pour cibler les vulnérabilités qui n’ont pas été corrigées.
D’ailleurs, on ne sait pas comment les gens sont redirigés vers les sites web malveillants. En général, le trafic est envoyé vers les sites web compromis par des escroqueries de phishing ou des publicités web malveillantes (malvertising), mais les visiteurs pourraient simplement atterrir sur ces sites en faisant une simple recherche sur Google.
Étant donné que les alertes apparaissent sur des sites web légitimes, les utilisateurs peuvent penser que les messages sont authentiques. L’un des sites web compromis est le site officiel d’un zoo. Kaspersky Lab a également identifié un autre site appartenant à un concessionnaire de pièces automobiles légitime. La campagne est active depuis au moins deux mois.
La protection contre cette méthode de diffusion de malwares nécessite une combinaison de solutions de sécurité. Un logiciel anti-virus à jour est indispensable pour garantir que tout fichier téléchargé sur un ordinateur professionnel est analysé dans le but de détecter les malwares.
Une solution de filtrage du web telle que WebTitan assurera également une protection en empêchant les utilisateurs de visiter des sites web compromis qui sont utilisés pour distribuer des malwares et en bloquant également les téléchargements les fichiers susceptibles d’être malveillants.
Contactez TitanHQ dès aujourd’hui pour en savoir plus sur le filtrage du web et sur la manière dont vous pouvez protéger votre entreprise contre les attaques lancées via le web.