Quiconque gère un site Web connaît probablement le terme « malvertising », qui se produit lorsque des escrocs cachent des exploits et des logiciels malveillants dans des publicités d’apparence légitime qui sont soumises aux principaux réseaux de publicité en ligne. Mais il existe une forme relativement nouvelle de publicité basée sur les logiciels malveillants qui gagne du terrain – des publicités autrement inoffensives pour des services illicites qui sont intégrées dans le logiciel malveillant lui-même.
À la base, cette forme de publicité – que j’appelle « crimevertising » faute d’un meilleur terme – existe depuis de nombreuses années. Le plus souvent, cela prend la forme de bannières publicitaires sur des forums clandestins qui proposent tout, des opportunités d’emploi des cybercriminels aux chevaux de Troie bancaires et aux services de retrait véreux. Plus récemment, les auteurs de logiciels malveillants ont commencé à offrir la possibilité de placer des publicités payantes dans les panneaux d’administration Web que les clients utilisent pour contrôler leurs botnets. De tels placements offrent aux annonceurs une opportunité sans précédent de garder leur marque sous les yeux de leur public cible pendant des heures.
L’auteur du pack d’exploits Blackhole vend de l’espace publicitaire sur la page d’administration de son kit, comme le montre cette capture d’écran.
Un exemple parfait de crimevertising 2.0 est l’interface pour le Trousse d’exploitation Blackhole, un logiciel criminel qui permet à presque tout le monde de créer facilement un botnet. La partie commerciale de ce kit est intégrée à des sites Web piratés ou malveillants, et les visiteurs disposant de plug-ins de navigateur obsolètes sont redirigés vers des sites qui diffusent des logiciels malveillants choisis par le malfaiteur. Les utilisateurs de Blackhole peuvent surveiller les nouvelles victimes et les taux de réussite des sites compromis à l’aide d’un panneau d’administration basé sur un navigateur.
Dans la capture d’écran ci-dessus, le panneau d’administration d’un kit d’exploitation Blackhole fonctionnel affiche deux publicités différentes ; tous deux favorisent l’achat et la vente de trafic Internet. Et voici un excellent exemple de la façon dont cette publicité peut être ciblée : La raison la plus courante pour laquelle les malfaiteurs achètent du trafic Internet est de le rediriger vers des sites qu’ils ont modernisés avec des kits d’exploitation comme Blackhole.
Je voulais savoir combien il en coûterait pour placer de telles publicités ciblées, alors j’ai discuté avec l’auteur de ce kit – un hacker qui utilise le surnom de « Paunch ». Il a déclaré qu’une publicité diffusée sur les panneaux d’administration de l’ensemble de la base d’utilisateurs de Blackhole me coûterait 700 $ par mois. Il a refusé de dire combien d' »impressions » cet argent achèterait, ou exactement combien d’utilisateurs de Blackhole il y a aujourd’hui.
Mais c’est probablement tout un public : selon la société de sécurité Sophos, Blackhole est désormais de loin la méthode la plus populaire pour lancer des attaques au volant. Dans son Rapport 2012 sur les menaces de sécuritéla société a constaté que « dans la seconde moitié de 2011, 67% des [malware] les détections étaient des redirections vers des sites légitimes compromis. Parmi ceux-ci, environ la moitié seraient des redirections vers des sites d’exploitation Blackhole.
Fait intéressant, lorsque Paunch n’a pas de publicités à diffuser auprès de clients payants, il diffuse des publicités pour ses propres services auxiliaires. Dans la capture d’écran ci-dessous (extraite d’un autre kit d’exploit Blackhole fonctionnel), on peut voir Paunch lancer son service d’obfuscation de logiciels malveillants basé sur un abonnement.
Je suppose qu’il est possible que des malfaiteurs essaient de placer des publicités criminelles contenant des logiciels malveillants dans le but de détourner les navigateurs d’autres pirates, mais il est peu probable que cela se produise tant que les auteurs de logiciels malveillants comme Paunch examinent manuellement les publicités achetées et interdisent tout autre chose que du texte brut. . En fin de compte, les acheteurs de kits de logiciels criminels peuvent avoir plus à craindre de l’auteur d’un kit lui-même : l’auteur du tristement célèbre SpyEye Le kit de création de botnet a un jour reconnu avoir ajouté une porte dérobée cachée à son logiciel qui lui permettait d’accéder à distance à toutes les installations des clients.
