Un cheval de Troie se propage via l’e-pub sur des services Web 2.0
ScanSafe a découvert un trojan diffusé par un canal de publicité en ligne,
pouvant affecter des sites comme MySpace ou Bebo. Redoutable.
Les membres qualifiés de réseaux communautaires en ligne (social network) incluant MySpace, Bebo, les services Web 2.0 de The Sun ou PhotoBucket (partage de photos) sont exposés à un cheval de Troie qui se cache à l’intérieur des bannières de publicité.
Au cours des dernières semaines, ces services Web 2.0 ont fait tourner des bannières sur leurs plates-formes en provenance du réseau d’échange publicitaire Right Media Online qui sont infectées par le trojan Downloader.VBS.Agent.n.
« Voici un nouvel exemple sur la manière dont des services Internet légitimes peuvent abriter à leur insu des agents malveillants », declare Dan Nadir, en qualité de vice-président en charge de la stratégie produits (vice-president of product strategy) chez l’éditeur de solutions de sécurité IT ScanSafe. « La publicité en ligne est devenue une cible prioritaire pour les pirates parce qu’elle permet de diffuser massivement mais discrètement des agents malveillants à une large audience. »
Dan Nadir précise que cet agent malveillant est particulièrement dangereux car l’infection se déclenche sans interaction au préalable. Selon ScanSafe, plus de 12 millions de publicités infectées ont été diffuses par ce biais, exposant un grand nombre d’utilisateurs au cheval de Troie. L’éditeur de solutions de sécurité IT a observé une hausse des tentatives de bloquer le Trojan à partir du 8 août qui ont continué jusqu’à début septembre.
Toujours selon le représentant de ScanSafe, il est difficile de remonter à la source de l’auteur de malwares car celui-ci détourne pour son propre compte le caractère inné de distribution de la publicité en ligne afin de diffuser du code malveillant à une centaine de sites Internet.
L’une des publicités affectées utilisait un fichier Flash pour générér un iFrame (cadre incorporé) invisible lié à une sombre adresse IP. Celle-ci pointe vers un script Visual Basic qui utilise un exploit (faille exploitée d’un logiciel non corrigé par un éditeur) en line avec Microsoft Data Access Components (MDAC) et qui sert de passerelle de téléchargement pour le cheval de Troie.
ScanSafe estime que le scrip malicieux derrière la bannière Flash a servi de tampon, empêchant Right Media de découvrir le malware. Une technique qui prouve un usage malin du referer check (outil permettant de connaître la dernière page consultée par l’internaute avant son arrivée sur un site donné). Cela signifie que la publicité devient réellement active qu’à partir du moment où elle est délivrée sur une plate-forme publicitaire particulière.
Le cheval de Troie Downloader.VBS.Agent.n télécharge d’autres programmes sur le poste de l’utilisateur qui n’a pas conscience du problème. Selon ScanSafe, plusieurs sites Internet bien connus comme le guide informatique TomsHardware a diffusé contre son gré des malwares via des publicités en ligne infectées.
Adaptation d’un article traduit de Vnunet.com en date du 11 septembre 2007