Encore une fois, Google démontre qu’il se laisse berner par les cybercriminels sur sa plateforme publicitaire DoubleClick. Une nouvelle alerte à la publicité malveillante diffusée sur YouTube a fait grand bruit…
Plusieurs fois par le passé, Google a été abusé par des cybercriminels qui exploitaient ingénieusement la plateforme publicitaire DoubleClick du géant américain pour propager des malwares en tout genre.
Le JavaScript chargé via les publicités en ligne peut en effet avoir des conséquences fâcheuses si le code a un but malveillant. Par exemple, il n’est pas rare de voir en action des exploits capables d’infecter une machine d’un internaute sans aucune action de sa part, juste en affichant une publicité piégée. Le téléchargement et l’exécution d’un malware est tout à fait possible.
Cette fois, il s’agit de cryptojacking, un phénomène très en vogue grâce à certaines librairies open source telle que celle distribuée par CoinHive. Cette dernière permet de miner de manière transparente des unités de crypto-monnaie Monero lors de l’affichage d’une page Internet.
Dans le cas présent concernant YouTube, c’est une publicité qui se chargeait d’implémenter en arrière plan le code JavaScript de minage CoinHive. Malin ! Surtout si l’on prend en compte le fait que plus le visiteur laisse sa page ouverte longtemps, plus le gain est conséquent pour le pirate… et quoi de mieux pour retenir l’internaute qu’une vidéo attractive durant plusieurs minutes ?
Comme le soulignent les experts en sécurité de la société Trend Micro, l’usage d’une campagne de publicité malveillante est particulièrement bien pensé, tout comme la diffusion sur YouTube. Les publicité malveillantes auraient été diffusées en France, au Japon, en Italie et en Espagne.
Dans le cas présent, les cybercriminels n’ont pas hésiter à allouer 80 % des ressources du processeur des internautes présents sur YouTube au minage de cryptomonnaie, ce qui rendait le processus d’arrière plan assez peu discret : les ventilateurs se mettaient à souffler pour faire face à cette charge et les machines étaient ralenties.
Comme si ce n’était pas suffisant, les pirates ont aussi diffusé une campagne malveillante affichant des messages d’alerte leur faisant croire que les ordinateurs des internautes étaient infectés par des virus. L’arnaque est classique, et permet l’installation d’un programme antivirus malveillant embarquant cette fois, un véritable malware…
L’attaque à la publicité malveillante aurait durée quasiment une semaine d’après les chercheurs de Trend Micro, même si Google dément et indique avoir supprimé la menace au bout de 2 heures et promet de rester en alerte au cas où. Notez bien que l’usage d’un bloqueur de publicité tel que uBlock Origin (évitez surtout AdBlock Plus qui est commercial…) vous protège de ce type d’attaque (publicité + code JavaScript CoinHive dédié au crypto-minning).