Deux des plus grands réseaux publicitaires d’Internet, DoubleClick et MSN, ont été infiltrés la semaine dernière dans le but de délivrer des malwares aux internautes.
L’expert Wayne Huang, de Armorize, a affirmé qu’un groupe d’assaillants a été en mesure de tromper les réseaux dans la diffusion d’annonces en se faisant passer d’un fournisseur de publicité en ligne.
Le plan astucieux a impliqué l’enregistrement d’un domaine qui a été, à une lettre près, celui de ADShuffle.com, une agence de publicité en ligne.
Les assaillants ont ensuite utilisé ADShufffle.com pour duper les réseaux de publicité en service avec leurs bannières publicitaires malveillantes. Si un utilisateur a cliqué sur les annonces, des logiciels malveillants étaient installés sur les PC des victimes après un bref téléchargement silencieux.
Il ne fallut pas longtemps avant que les réseaux publicitaires repère le pirate, mais Huang souligne que l’incident montre la difficulté liée à ce problème.
Les utilisateurs visitent des sites Web qui intègrent des bannières publicitaires de DoubleClick ou de rad.msn.com, le javascript malicieux est servi de ADShufffle.com. Cela commence par un processus de téléchargement et en cas de succès, d’autres logiciels malveillants sont installés dans la machine de la victime.
Les sites qui ont été touchés utilisaient des bannières DoubleClick ou rad.msn.com, y compris par exemple Scout.com, realestate.msn.com, msnbc.com et mail.live.com.
Les assaillants ont utilisé Eleonore ou encore Neosploit pour accomplir les “drive-by downloads“. Ces deux ont servis à générer un assortiment d’attaques en espérant trouver une faille.
D’habitude, ce genre d’attaques se fait à petite échelle, c’est la première fois qu’elles ont une aussi grande portée sur des réseaux publicitaires légitimes.
Huang a dit qu’il était vraiment impressionné par la vitesse à laquelle DoubleClick a réagit pour traiter le problème. Armorize les a mis en garde du problème, a eu une réunion en quelques heures et DoubleClick qu’il fixe.
Google, qui possède DoubleClick, a déclaré que les annonces malveillantes ont été seulement servies pendant un court laps de temps. Il semble que ses filtres de sécurité avaient détectés le hack.
Les commentaires sont fermés.