Un nouveau rapport Confiant explore “les détails d'une récente vague de piratages de sites Web” ainsi que les charges utiles malveillantes livrées aux victimes. Le rapport comprend également des détails sur les téléchargements en voiture, leur état actuel dans les principaux navigateurs, et comment ils seront traités à l'avenir.
La malvertisation ne se résume pas à l'œil nu
Les chercheurs étudient également les campagnes de malvertising, visant ainsi à fournir “un paysage beaucoup plus large au-delà de ce qui se passe simplement dans l'espace publicitaire“. En d'autres termes, il y a plus à faire de la publicité que des publicités malveillantes. Les achats de médias peuvent être une option privilégiée pour un point d'entrée, mais ce n'est pas la seule option disponible.
Quel est l’état actuel de la publicité malveillante et des téléchargements intempestifs ??
Dans une chaîne malvertising typique, il y a plusieurs transferts, similaire à une campagne CPA traditionnelle basée sur la technologie publicitaire. Avec des logiciels malveillants, il se trouve que les dernières étapes de la passation se produisent entre des intermédiaires sommaires qui emmènent la victime vers une page de destination malveillante, Confiant explains.
Les chercheurs ont inspecté de près un incident malveillant survenu à la version de l'application Android de BoingBoing en janvier 2020, lorsque des superpositions malveillantes ont été détectées sur le site Web. On pensait initialement qu'il s'agissait d'un incident de «mauvaise publicité», la même attaque a ensuite été détectée sur d'autres sites Web:
Au cours des semaines suivantes, nous avons détecté cette attaque sur une multitude de sites. Habituellement, cela se manifeste par un compromis CMS qui introduit cette charge utile malveillante.
En d'autres termes, il s'est avéré que la campagne supposée de malvertising n'est pas liée à malvertisinf. En fait, Le CMS de BoingBoing a été piraté, et un script a été injecté pour afficher les superpositions malveillantes aux visiteurs.
Après une enquête plus approfondie, les chercheurs ont découvert que les téléchargements en voiture étaient lancés par JavaScript intégré à la page. Ce script créerait un lien sur la page et cliquerait sur un lien, sans avoir besoin d'interaction de l'utilisateur, initiant ainsi le téléchargement.
Une question est alors apparue: même si l'attaque de BoingBoing n'était pas malvertising, un scénario similaire pourrait-il se produire via des iframes malvertising et en bac à sable?
La plupart des annonces s'appuient sur des iframes en bac à sable pour intégrer une annonce sur une page Web. Étant donné que les annonces sont généralement contrôlées par des tiers, les iframes sont généralement utilisés avec le sandboxing pour améliorer la sécurité et limiter les actions du côté des tiers.
Comment vont les navigateurs?
Pour vérifier si le script malveillant entraînerait un téléchargement par téléchargement d'un fichier APK dans des iframes d'origine croisée en bac à sable, les chercheurs ont créé une page de preuve de concept avec l'idée de tester plusieurs navigateurs.
L'inspiration pour faire cette analyse a été la découverte choquante que la plupart des navigateurs respecteront les téléchargements forcés à partir de cadres d'origine croisée. En fait, les téléchargements forcés comme celui-ci sont encore souvent possibles dans les iframes Sandboxed Cross-Origin, n'ayant été traité que dans Chrome pour cette dernière version de Chrome 83, le rapport a expliqué.
Cependant, les choses ne vont pas aussi bien avec Mozilla Firefox, car ce navigateur n'empêche pas les téléchargements dans les iframes d'origine croisée, ce qui conduit à inviter l'utilisateur à télécharger le fichier. Une image similaire a été vue dans le navigateur Brave. Quant à Safari, pour une raison quelconque, le navigateur “veut honorer le téléchargement, mais semble juste coincé” sans même le finir.
Les navigateurs mobiles ont affiché un comportement incohérent:
Par exemple, Les navigateurs Android sont rapides à vous avertir lorsque le téléchargement est un fichier avec une extension APK, mais rien d'autre ne reçoit souvent même une invite.
Comme indiqué dans le rapport, il est assez surprenant qu'aujourd'hui on puisse encore forcer un téléchargement non initié par l'utilisateur, sans aucune invite des iframes d'origine croisée dans la plupart des principaux navigateurs. La question de savoir pourquoi est toujours sans réponse.
Il y a quelques années, une grande campagne de publicité qui a repris des serveurs publicitaires entiers pour insérer des publicités malveillantes dans leurs inventaires publicitaires a été découvert par Confiant. Les publicités malveillantes redirigeraient les utilisateurs sans méfiance vers des sites contenant des logiciels malveillants généralement masqués comme des mises à jour d'Adobe Flash Player. La campagne durait depuis au moins neuf mois.