Java.com, Kapaza.be renvoient à du malware

Guy Kindermans Rédacteur de Data News

Selon le spécialiste de la sécurité Fox IT, des sites renvoient à des publicités chargées de malware. (update)

Sur le blog de l’expert en sécurité néerlandais Fox IT, l’on décrit comment via le système de ‘vente aux enchères de métadonnées’, des utilisateurs se retrouvent en fin de compte avec du malware sur les bras par l’entremise de sites pourtant réputés. Fox IT a observé ce genre de problème avec des sites tels Java.com, Kapaza.be, IBTimes.com, TMZ.com et d’autres encore.

Enchères en temps réel

Le problème est connu sous l’appellation ‘malvertising’ et est généré par des enchères en temps réel sur des métadonnées relatives aux visiteurs d’un site. En prenant contact avec un site, un utilisateur fait connaître pas mal d’informations sur lui-même, comme son emplacement, le navigateur qu’il utilise, etc. Si sur le site visité, l’on a prévu de l’espace pour des annonces, ces métadonnées peuvent être proposées en temps réel à des publicitaires éventuels. Quiconque émet la plus forte enchère, peut insérer sa publicité et s’il s’agit d’un cybercriminel, l’utilisateur se voit envoyer une annonce contaminée. Fox IT a ainsi observé la propagation de l”exploit kit’ Angler notamment, qui recherche des versions vulnérables de Java, Flash ou Silverlight. S’il en trouve, c’est du malware qui est ensuite transféré. Il s’agissait majoritairement du maliciel Asprox conçu pour diffuser du spam, selon les observations faites par Fox IT. Et d’insister sur le fait “qu’il ne faut pas nécessairement cliquer sur de la publicité mal intentionnée pour être infecté. Tout se passe en catimini à l’arrière-plan, lorsque l’annonce est chargée par le navigateur de l’utilisateur”.

Ce genre de pratique mal intentionnée est malaisément dépistable, selon Fox IT, parce que le fournisseur de telles publicités peut se dissimuler à différents niveaux sur la plate-forme d’enchères, alors que la pratique malfamée n’est simplement observable que du côté client. Il peut aussi arriver que le fournisseur de la publicité, sur base de la métadonnée de l’utilisateur, place inconsciemment un lien vers une publicité contaminée, ce qui infecte à son tour le système de l’utilisateur.

Conseil

Il n’existe aucune solution globale facile contre le ‘malvertising’, affirme Fox IT. L’entreprise recommande donc d’activer ‘click to play’ dans le navigateur, afin que les plug-ins de tiers ne soient pas automatiquement lancés. En outre, l’utilisateur doit continuellement mettre à jour les plug-ins dans le navigateur et a tout intérêt à désactiver les plug-ins non directement nécessaires. “De cette façon, vous pouvez installer Java sans le composant plug-in, ce qui réduit le risque d’abus et d’infection.”

UPDATE: Kapaza.be signale qu’entre-temps, Fox IT a fourni davantage d’informations: “Les publicités visées [à savoir Kapaza.be] proviennent d’AppNexus, [et] pas directement du site Kapaza.be. Après cette découverte, nous avons pris contact avec le fournisseur publicitaire en question. Depuis vendredi dernier, le 22 {+ } août, nous n’avons plus observé de trafic mal intentionné.” (Fox IT)

Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici

Contenu partenaire