Découverte d’une nouvelle campagne de spam surfant sur l’engouement général pour la Coupe du Monde

0
91

Les chercheurs de la société Imperva viennent de révéler une campagne de spam surfant sur l’engouement général pour la Coupe du Monde et visant à inciter les internautes à cliquer sur des liens les conduisant vers des sites de paris frauduleux.

La campagne, qui cible principalement des sites à l’architecture WordPress, est lancée par un botnet et implémentée sous forme de commentaire SPAM – sans signification, le texte est généré à partir d’un modèle et posté dans les sections commentaires des blogs, articles d’actualité, etc. Les chercheurs d’Imperva ont commencé à voir un pattern – tous proposaient des services de paris sur les matches de la Coupe du Monde de la FIFA 2018.

A propos de cette découverte, Johnathan Azaria, chercheur en sécurité chez Imperva, déclare : « Cette fois encore, nous constatons que les pirates surfent sur les tendances les plus populaires et vont là ou l’argent se trouve. »

Dans cette campagne, les pirates profitent de la popularité de la Coupe du Monde et postent des liens vers des sites de paris frauduleux dans les sections de commentaires des articles et des blogs. Toute personne visitant ces sites pourrait être facilement dupée et transmettre elle-même ses données sensibles aux pirates.

Le spam de commentaire est l’une des plus anciennes ruses des pirates, cependant nos recherches prouvent qu’elle est encore largement utilisée. »

Les principaux enseignements du blog sont les suivants

  • Le SPAMbot ciblait principalement les sites WordPress en utilisant la technique “Spray and Pray” – en tentant de poster un commentaire sur le même URI sur de nombreux sites différents, sans se soucier que le site soit vulnérable ou comporte une section de commentaire.
  • L’analyse d’Imperva a révélé que les 10 liens les plus postés par le botnet mènent à des sites de paris autour de la Coupe du monde. Fait intéressant, huit des sites les plus touchés contenaient des liens vers le même site de paris, laissant entendre qu’ils pourraient être connectés les uns aux autres.
  • Dans les semaines précédant la Coupe du Monde, le botnet a mis l’accent sur d’autres attaques non-SPAM, y compris des tentatives infructueuses d’invoquer l’exécution de code à distance (RCE) via PHP et d’abuser du téléchargement non restreint de fichiers sur des sites WordPress.
  • Une fois les matchs commencés, les botnets ont rapidement diminué en intensité et se sont recentrés sur leurs activités de SPAM de commentaires, avec un pic d’activité en quarts de finale et en demi-finale.
  • Une explication possible à cela est que le botnet est à louer. L’activité malveillante que nous avons détectée au début était soit payante, soit une simple tentative du botnet de se développer. Il a par la suite été embauché par ces sites de paris pour les faire connaitre et augmenter leur référencement.