La publicité malveillante, ou malvertising, est le nom donné à l’utilisation abusive des réseaux publicitaires pour diffuser des publicités malveillantes sur des sites web légitimes, et ce, dans le but d’escroquer les internautes. Ces publicités affichent des popups qui redirigent les utilisateurs vers des sites hébergeant des formulaires de phishing ou un kit d’exploitation qui diffuse discrètement des malwares.
De nombreux propriétaires de sites internet intègrent des blocs publicitaires de tiers sur leurs sites pour augmenter leurs revenus. Bien que les réseaux publicitaires aient mis en place des contrôles pour prévenir les abus, les cybercriminels réussissent souvent à contourner ces mesures de sécurité.
Un groupe cybercriminel a été particulièrement actif au cours de l’année dernière et a mené des attaques à grande échelle. Les chercheurs de Confiant ont suivi l’activité du groupe — connu sous le nom d’eGobbler — et ont rapporté que le groupe a diffusé de fausses publicités sur 500 millions de sessions utilisateurs en Europe et aux États-Unis au cours de la dernière semaine seulement. Les campagnes ont été vraiment massives. À noter que l’une des dernières campagnes, menée entre le 1er août et le 23 septembre, a porté sur environ 1,16 milliard d’impressions publicitaires affichées sur les écrans des internautes.
Dans la plupart des cas, les criminels derrière ces campagnes ciblent les utilisateurs mobiles, car les protections de sécurité sur ce genre d’appareil sont loin d’être aussi robustes que sur les ordinateurs de bureau. Par contre, cette campagne a ciblé les utilisateurs d’ordinateurs de bureau qui fonctionnent sous Windows, Linux et MacOS.
Plusieurs réseaux de diffusion de contenu ont été utilisés pour diffuser les publicités malveillantes, redirigeant les utilisateurs vers des sites web qui exploitent les vulnérabilités des navigateurs pour diffuser leurs charges utiles malveillantes. La première est un bug dans le navigateur Chrome — CVE-2019-5840 — qui a été corrigé par Google en juin.
La seconde est une vulnérabilité de type « zero-day » dans webKit, le moteur de navigation utilisé par les anciennes versions de Chrome et Safari. Le bug a déjà été corrigé pour Safari. Par contre, Google n’a pas encore corrigé le bug pour Chrome. Comme le dernier moteur de navigation utilisé par Chrome est basé sur webKit, les versions ultérieures du navigateur ont été également affectées.
Alors que les fonctions de sandboxing protègent les iframes qui sont utilisés pour intégrer des tags publicitaires, la vulnérabilité zero-day a permis au groupe eGobbler de manipuler les iframes et d’afficher un code malveillant pour les visiteurs dans le but d’effectuer des redirections.
eGobbler est différent des groupes qui utilisent la publicité malveillante pour diffuser des malwares. Le groupe est hautement qualifié et est capable de trouver des bugs dans le code source des navigateurs afin de mener des campagnes publicitaires malveillantes à grande échelle. Le groupe représente une menace importante pour les utilisateurs d’Internet, pourtant il existe certaines mesures qui peuvent être prises pour réduire la probabilité d’une attaque.
Les utilisateurs peuvent renforcer leurs défenses en utilisant des bloqueurs d’annonces et en s’assurant qu’ils maintiennent leurs navigateurs à jour. De même, les entreprises doivent s’assurer que les navigateurs peuvent bloquer les publicités malveillantes, en utilisant une solution de filtrage web.
En plus de bloquer les publicités malveillantes, un filtre web peut être configuré pour bloquer le téléchargement de fichiers malveillants et empêcher les employés de visiter des sites de phishing et autres sites web malveillants. Un filtre web peut également être utilisé par les entreprises pour appliquer des politiques d’utilisation d’Internet acceptables.
TitanHQ a développé une puissante solution de filtrage web basée sur le DNS pour les PME et les fournisseurs de services gérés. Il s’agit de webTitan, un outil qui offre une protection efficace contre les publicités malveillantes et d’autres types d’attaques sur Internet. La solution est facile à utiliser et peut être mise en œuvre en quelques minutes, sans avoir besoin d’une compétence technique particulière.
Compte tenu du niveau de protection offert par WebTitan, vous serez probablement surpris du faible coût de déploiement de la solution. Pour en savoir plus ; pour bénéficier d’une démonstration du produit ; ou bien pour profiter d’un essai gratuit de la solution complète, contactez notre équipe commerciale.