Les cybercriminels ont adopté une nouvelle tactique pour diffuser des malwares et pour lancer des attaques de phishing contre des internautes sans méfiance.
Ils détournent des domaines inactifs et les utilisent pour diriger les visiteurs vers des sites web malveillants sous forme de malvertising.
Le terme « malvertising » désigne l’utilisation de codes malveillants dans des publicités apparemment légitimes qui sont souvent affichées sur des sites web à fort trafic.
Les propriétaires de sites web utilisent des réseaux publicitaires tiers pour augmenter les revenus de leurs sites web.
La plupart de ces publicités sont authentiques et dirigent les utilisateurs vers un site web légitime, mais les cybercriminels y introduisent souvent des codes malveillants en douce.
En cliquant sur le lien publicitaire, l’utilisateur sera dirigé vers un site web hébergeant un kit d’exploitation ou un formulaire de phishing.
Dans certains cas, les téléchargements de malwares par « drive-by » ne requièrent aucune interaction de la part de l’internaute. Il suffit que le contenu du site web se charge et que l’utilisateur utilise un appareil vulnérable pour que l’attaque soit lancée.
La nouvelle tactique utilise des domaines qui ont expiré et qui ne sont plus actifs. Ces sites web peuvent toujours être répertoriés dans les résultats des moteurs de recherche pour les principaux termes de recherche. Lorsque l’utilisateur effectue une recherche et clique sur le lien (ou utilise un lien dans ses signets vers un site web visité précédemment), il atterrit sur une page de renvoi lui expliquant que le site web en question n’est plus actif. Souvent, cette page comprend une série de liens qui dirigeront le visiteur vers des sites web connexes.
Ce qui se passe souvent, c’est que ces domaines expirés peuvent être mis en vente. Il est souvent intéressant pour les acheteurs d’opter pour cette solution, car il peut y avoir déjà de nombreux liens qui pointent sur le site web en question, ce qui est notamment préférable s’ils souhaitent concevoir et lancer un site Internet à partir de zéro.
Les domaines expirés sont mis aux enchères. Les chercheurs de Kaspersky ont découvert que des cybercriminels ont profité de ces sites web mis aux enchères et ont ajouté des liens qui dirigent les visiteurs vers des sites web malveillants.
Lorsqu’un visiteur arrive sur le site, au lieu d’être dirigé vers le portail de la vente aux enchères, le lien est remplacé par un lien qui le redirige vers un site web malveillant. L’étude a révélé qu’environ 1 000 domaines avaient été mis en vente sur un site d’enchères populaire, qui renvoyaient les internautes vers plus de 2 500 URL indésirables.
Dans la majorité de ces cas, les URL étaient des pages liées à des publicités, dont 11 % étaient malveillantes et servaient principalement à distribuer le cheval de Troie Shlayer via des documents infectés que l’utilisateur est invité à télécharger. Le cheval de Troie Shlayer installe des logiciels publicitaires sur l’appareil de l’utilisateur. Plusieurs de ces sites hébergeaient également un code malveillant au lieu de rediriger leurs visiteurs vers d’autres pages web.
Ces domaines étaient autrefois des sites web légitimes, mais sont maintenant utilisés à des fins malveillantes, ce qui rend la menace difficile à bloquer. Dans certains cas, les sites affichent un contenu différent selon l’endroit où se trouve l’utilisateur et s’il utilise ou non un VPN pour accéder à Internet. Les contenus de ces sites web changent fréquemment, mais ils sont indexés et classés par catégories. S’ils sont jugés malveillants, les URL sont ajoutées à des listes de blocage en temps réel (RBL).
Une solution de filtrage web telle que WebTitan peut assurer une protection contre le malvertising et les redirections vers des sites malveillants. Si les pirates utilisent une quelconque tactique pour envoyer un utilisateur vers un site web connu comme malveillant, plutôt que d’être connecté, il sera dirigé vers une page de blocage locale, ce qui permet d’éviter les éventuelles menaces. WebTitan peut également être configuré pour bloquer les téléchargements de types de fichiers à risque à partir de ces sites web malveillants.
De nombreuses organisations ont mis en place des pare-feu pour prévenir les attaques directes lancées par les pirates informatique. Elles utilisent un logiciel antivirus pour bloquer les malwares et une solution antispam pour bloquer les attaques lancées via la messagerie électronique. Pourtant, il existe toujours une lacune dans leurs protections de sécurité et les menaces basées sur le web ne sont pas bloquées efficacement. WebTitan permet aux organisations de combler cette lacune et de contrôler les sites web auxquels les employés peuvent accéder.
WebTitan est disponible en version d’essai gratuite pour vous permettre d’évaluer la solution et de voir par vous-même comment vous pouvez bloquer les tentatives de visite de contenus web malveillants et de sites NSFW (Not safe for work), c’est-à-dire les sites qui ne sont pas sûrs pour le travail.
Pour plus d’informations sur WebTitan et le filtrage web, appelez l’équipe de TitanHQ.