Le ministère américain de la Justice a annoncé hier la mise en accusation de plusieurs acteurs impliqués dans des activités de fraude publicitaire.
Simultanément, Google et d’autres partenaires de l’industrie ont annoncé le démantèlement des domaines impliqués dans ces activités, perturbant ainsi une campagne frauduleuse d’envergure ayant déjà coûté plusieurs millions de dollars. Les chercheurs de Proofpoint ont largement contribué à identifier les logiciels malveillants et l’infrastructure utilisée dans ces activités.
La campagne frauduleuse a notamment été attribuée à « Kovter » déjà connu dans le cadre de campagnes de malvertising (« KovCoreG ») il y a un an, ayant eu un impact sur plusieurs sites web très fréquentés, classés dans le top 40 Alexa, comme par exemple PornHub, célèbre site de vidéos pour adultes.
Il est intéressant de rappeler l’ampleur des activités de Kovter ces dernières années. Suivi par le chercheur Proofpoint « Kafeine » depuis son apparition en 2013, le malware de fraude publicitaire Kovter a fait l’objet de campagnes innovantes. Très peu de cybercriminels ont la capacité de détourner les espaces publicitaires de certains des sites les plus visités dans le monde. Kovter s’appuie sur des stratagèmes d’ingénierie sociale sophistiqués qui amènent les utilisateurs à s’infecter eux-mêmes. Une fois de plus, le facteur humain est privilégié.
Sur une période de plus d’un an, des millions de victimes potentielles aux États-Unis, au Canada, au Royaume-Uni et en Australie ont été exposées. Un rapport est disponible pour mieux comprendre l’historique détaillé des campagnes Kovter.
« Le groupe Kovter est un acteur extrêmement sophistiqué dans le domaine des menaces, ses outils et les techniques ont évolué au fil des ans pour leur permettre d’opérer sans être détectés pendant de longues périodes sur des sites très médiatisés comme PornHub et d’abuser de grands réseaux publicitaires comme TrafficJunky. Ces attaques donnent une image détaillée de leurs capacités et illustre une évolution plus large vers les attaques d’ingénierie sociale et l’utilisation de kits d’exploitation » explique Chris Dawson, Responsable des menaces intelligentes chez Proofpoint
Les chercheurs de Proofpoint ont été très actifs dans l’identification, l’analyse et le suivi de Kovter. Le blog Threat Insight de Proofpoint fournit un résumé des principales conclusions de la recherche sur le sujet.