Vidéo: 8 Google Ads Alternatives - PPC Advertising Networks That Are Worth Testing (Novembre 2024)
Des chercheurs ont découvert que des milliers d'utilisateurs ayant visité le site Web de Yahoo au cours de la semaine passée avaient été infectés par un logiciel malveillant. Le malware a été diffusé via des programmes malveillants apparus sur le site.
Yahoo a confirmé l'infection, mais a déclaré qu'elle avait déjà été retirée. "Chez Yahoo, nous accordons une grande importance à la sécurité et à la confidentialité de nos utilisateurs. Du 31 décembre au 3 janvier, nous avons diffusé sur nos sites européens certains messages non conformes à nos consignes de rédaction - en particulier, ils propagent des programmes malveillants. Les utilisateurs d’Amérique du Nord, d’Asie Pacifique et d’Amérique latine n’ont pas été desservis et ne sont pas affectés. De plus, les utilisateurs de Mac et d’appareils mobiles n’ont pas été affectés ", a déclaré la société dans un courrier électronique. Note de l'éditeur: Yahoo a mis à jour cette déclaration lundi.
Les attaquants avaient inséré des publicités malveillantes, ou malicieuses, dans les serveurs utilisés par ads.yahoo.com, a écrit dans un article publié samedi sur son blog Fox-IT. Ces annonces redirigeaient les utilisateurs vers une page hébergeant le kit d’exploitation "Magnitude", qui cible diverses vulnérabilités Java. Le kit d’exploitation a installé "une multitude de logiciels malveillants" sur des ordinateurs vulnérables, tels que Zeus Trojan, Andromeda, Dorkbot / Ngrbot, les logiciels malveillants qui cliquent sur des publicités, Tinba / Zusy et Necurs, a déclaré Fox-IT. Les chercheurs estiment que les serveurs affichent des erreurs de signalisation depuis le 30 décembre, mais n’ont pas exclu la possibilité que les attaques se produisent encore plus tôt.
L’infection a également été confirmée sur Twitter par Mark Loman, un analyste de programmes malveillants néerlandais doté de l’antivirus Surfright.
"On ne sait pas quel groupe spécifique est derrière cette attaque, mais les assaillants sont clairement motivés par des raisons financières", a déclaré Fox IT. Les attaquants vendent peut-être la possibilité de contrôler ces machines infectées à d'autres cybercriminels, peut-être dans le cadre d'un botnet.
Attaque furtive
Les publicités malveillantes sont particulièrement sournoises, car les utilisateurs sont infectés simplement en chargeant un site Web. Les utilisateurs n'ont rien à faire, par exemple cliquer sur un lien pour être infectés. Ces publicités malveillantes sont apparues sur des sites légitimes au cours des dernières années. En 2011, les utilisateurs de Spotify ont été touchés par des publicités malveillantes diffusées par un réseau de publicité tiers, tout comme les visiteurs du site Web de la Bourse de Londres. En fait, les utilisateurs sont 182 fois plus susceptibles d'être infectés par des logiciels malveillants provenant de ces publicités que par des sites de contenu pour adultes, a révélé Cisco lors d'un sondage l'année dernière.
"L'époque où vous deviez parcourir des zones sombres du réseau pour trouver quelque chose de malveillant est bien révolue", a écrit Graham Cluley, chercheur en sécurité.
Vendredi, le malware était livré à environ 300 000 utilisateurs par heure, ce qui signifierait qu'environ 27 000 utilisateurs par heure seraient réellement infectés, a estimé Fox-IT. Les pays avec le plus grand nombre d'utilisateurs concernés étaient la Roumanie, le Royaume-Uni et la France.
Alors que le rapport Fox-IT se concentrait sur Yahoo, Graham Cluley a souligné que les utilisateurs ayant visité d'autres sites via le réseau publicitaire de Yahoo pouvaient également être affectés.
Serveur piraté, annonce délicate?
À ce stade, on ignore comment les annonces malveillantes ont été intégrées à la régie publicitaire. Bien qu'il soit possible que les attaquants aient compromis le serveur publicitaire pour charger les fichiers malveillants, il est également possible que les attaquants aient soumis l'annonce de la manière habituelle et aient incité Yahoo à croire qu'il s'agissait d'une annonce ordinaire. Cela ne signifie pas nécessairement que Yahoo ne faisait pas son travail: l'annonce soumise aurait pu être inoffensive. Les attaquants auraient pu permuter le code après l'acceptation de la publicité.
Étant donné qu'il est difficile de se défendre contre les attaques malveillantes, il est encore plus important que les utilisateurs exécutent des logiciels mis à jour sur leurs ordinateurs et tiennent leurs logiciels de sécurité à jour. Le kit d’exploitation visait également Java. Les utilisateurs doivent désinstaller Java, le désactiver entièrement dans le navigateur ou prendre d'autres mesures pour se protéger des attaques contre Java.
"Si vous aviez besoin d'une autre raison pour désactiver Java dans le navigateur de votre ordinateur, vous l'avez, " a déclaré Cluley.
