Equifax : alerte à l’adware après le vol massif de données

Sécurité
equifax-malvertising

Le site Web d’Equifax a été exploité pour diffuser un logiciel publicitaire déguisé en mise à jour de Flash. Le problème se trouve peut-être chez un tiers.

Si les internautes bloquent les scripts et la publicité, c’est aussi une question de sécurité.

Cette déclaration d’un membre des forums Y Combinator s’inscrit dans le cadre d’une discussion sur une campagne de diffusion de malware qui a touché Equifax.

Sous le feu des projecteurs depuis qu’elle a reconnu avoir été victime d’un vol massif de données associées à plus de 140 millions d’individus, l’agence américaine d’évaluation de crédit se refuse à parler d’un deuxième piratage.

L’alerte avait été donnée mercredi par Randy Abrams.

Ce chercheur indépendant en sécurité, ancien de Microsoft, d’ESET et de NSS Labs, fait partie des nouveaux inscrits à TrustedID.

Equifax a décidé, dans la continuité du hack dévoilé le mois dernier, d’offrir, à tout citoyen américain qui en fera la demande, un an d’abonnement gratuit à ce service de suivi de dossier de crédit et de protection contre l’usurpation d’identité.

Action directe…

Peu après son adhésion, Randy Abrams a reçu un e-mail le notifiant d’un changement repéré sur son dossier de crédit.

En se connectant à son compte TrustedID, l’intéressé a constaté qu’Experian, autre agence majeure d’évaluation de crédit aux États-Unis, avait modifié son adresse postale – pour une raison qu’il suppose être familiale.

Souhaitant vérifier si la modification avait été répercutée sur le dossier de crédit version Equifax, il s’est rendu sur le portail en ligne mis en place par l’agence pour l’information des consommateurs.

flash-malwareTandis qu’il s’apprêtait à remplir un formulaire pour accéder audit dossier, il a été redirigé vers une page qui lui proposait de mettre à jour son plugin Flash.

Sauf que l’exécutable téléchargé n’a rien à voir. Nommé MediaDownloaderIron.exe, il est détecté, par quelques moteurs antivirus, comme un logiciel publicitaire.

Symantec et Panda, qui font partie des produits capables de repérer l’adware, le nomment Eorezo.

mediadownloader

… ou victime collatérale ?

Dans un examen du 12 octobre, Payload Security a constaté qu’il était difficile de pratique la rétroingénierie sur le code de ce malware qui tente d’agir le plus discrètement possible, en analysant notamment, au préalable, le nom des fenêtres ouvertes, en analysant le registre à la recherche des applications installées ou encore en vérifiant l’éventuelle présence d’outils de débogage.

Ars Technica, qui a suivi l’évolution de l’affaire, note que Malwarebytes a signalé comme malveillant le nom de domaine centerbluray.info, sur lequel était hébergée la page problématique. Sur sa liste Safe Browsing, Google parle quant à lui de site de phishing.

Quelle responsabilité pour Equifax ? Aussi bien sur les forums Y Combinator que dans la communauté des chercheurs en sécurité IT, on estime que le désagrément est lié au piratage d’un tiers. En l’occurrence, un réseau publicitaire ou un fournisseur de solutions analytiques.

Ce qui expliquerait que Randy Abrams lui-même ne soit pas parvenu à reproduire systématiquement le problème, illustré dans la vidéo ci-dessous.


Lire la biographie de l´auteur  Masquer la biographie de l´auteur