Yahoo, visiteurs d'AOL impactés par des logiciels malveillants dans des annonces, ransomware en action

Le malvertising impacte les visiteurs de Yahoo et AOL, propage le ransomware via le kit d’exploitation FlashPack

Plusieurs sites web à fort trafic, y compris Yahoo, AOL, Match.com et The Atlantic, ont été trouvés en train de diffuser des annonces malveillantes à leurs visiteurs. Le logiciel malveillant en action, le « ransomware CryptoWall 2.0 », a impacté les visiteurs utilisant une version vulnérable/non corrigée d’Adobe Flash Player.

Les chercheurs de Proofpoint, qui ont signalé la campagne de malvertising, ont déclaré que le logiciel malveillant n’avait même pas besoin d’un clic pour être installé, il s’installait automatiquement en utilisant une vulnérabilité dans les anciennes versions de Flash Player.

Sans avoir à cliquer sur quoi que ce soit, les visiteurs des sites web impactés peuvent être furtivement infectés par le ransomware CryptoWall 2.0. En utilisant Adobe Flash, les malvertisements « tirent » silencieusement des exploits malveillants du kit d’exploitation FlashPack. Les exploits attaquent une vulnérabilité dans le navigateur des utilisateurs finaux et installent CryptoWall 2.0 sur les ordinateurs des utilisateurs finaux, a déclaré Proofpoint dans un article de blog.

Une fois que le logiciel malveillant infecte l’ordinateur de la victime, il crypte le disque dur de la victime et demande une rançon à être livrée par internet en échange de la décryption des fichiers de la victime à leur état original.

Plus de 3 millions de visiteurs par jour ont potentiellement été exposés à cette campagne de malvertising qui a généré environ 25 000 $ US par jour pour les attaquants.

Liste des domaines qui ont été affectés avec leurs classements mondiaux Alexa tels que donnés sur le blog de Proofpoint.

Yahoo! Finance, Fantasy et Sports (yahoo.com, Global 4, US 4),
AOL (realestate.aol.com, US 37, Global 119),
The Atlantic (theatlantic.com, US 386, Global 1,206),
9GAG (9gag.com, US 528, Global 201,),
match.com (US 203, Global 631),
The Sydney Morning Herald (www.smh.com.au, Australia 13, Global 780),
realestate.com.au (Australia 17, Global 1,656),
The Age (theage.com.au, Australia 34),
stuff.co.nz (Nouvelle-Zélande 9),
societe.com (France 54, Global 1,649),
Dumpert (dumpert.nl, Pays-Bas 24),
Flirchi (flirchi.com, Inde 106, Global 1,129),
Weatherzone Australia (weatherzone.com.au, Australie 111),
Brisbane Times (brisbanebrisbanetimes.com.au, Australie 183),
RSVP (rsvp.com.au, Australie 351),
The Canberra Times (canberratimes.com.au, Australie 403),
Time Out (US 1,145, Global 1,816),
The Beacon-News (beaconnews.suntimes.com, US 1,178),
Merca2.0 (merca20.com, Mexique 229),
clicccar.com (Japon 1,124),
iPhone pour Hong Kong (iphone4hongkong.com, HK 112),
Noticias Argentinas (noticiasargentinas.com, Argentine 784)

Le logiciel malveillant dans ce cas, le ransomware Cryptowall 2.0, télécharge un client Tor sur la machine de la victime qu’il utilise pour se connecter à son serveur de Commande et de contrôle (c&c) et demande l’équivalent de 500 $ en Bitcoin comme rançon.

Proofpoint a déterminé que les sites web impactés eux-mêmes n’étaient pas infectés, mais plutôt le réseau publicitaire sur lequel ces sites comptent pour diffuser des annonces dynamiques. Ces annonces dynamiques servaient à leur tour le CryptoWall aux victimes. Les réseaux publicitaires, y compris OpenX, Rubicon Project et Yahoo Ad Exchange, qui servaient sans le savoir ces annonces malveillantes, ont été informés des campagnes de malvertising et, depuis samedi, des mesures appropriées ont été prises pour freiner la campagne de malvertising sur ces réseaux.