Des chercheurs ont révélé un nouveau framework de programmes malveillants visant à augmenter les impressions publicitaires afin de générer des revenus frauduleux pour les opérateurs.
La société de cybersécurité Flashpoint a annoncé mercredi que ce framework avait généré plus d’un milliard d’impressions frauduleuses dans les annonces Google Adsense au cours des trois derniers mois. Il est également capable de générer de faux j’aime sur des vidéos YouTube ainsi que de regarder des sessions de streaming sur Twitch.
Google Chrome, Mozilla Firefox et le navigateur Yandex sont tous visés par ce framework, au moins dans leurs versions Windows. Les navigateurs infectés sont reliés à un botnet qui est utilisé pour générer un revenu mensuel pour les fraudeurs.
Le navigateur d’une victime est d’abord infecté par un logiciel malveillant capable d’exploiter des failles de sécurité ou des vulnérabilités dans le logiciel. Lors de la première étape du framework, une nouvelle extension de navigateur malveillant est ajoutée ou un programme malveillant télécharge le module “Patcher” qui effectue cette tâche.
Le programme d’installation se configure lui-même sur les machines Windows en tant que tâche planifiée pour maintenir la persistance et prétend être associé à Windows Update via un fichier XML stocké localement.
Une fois l’extension de fraude publicitaire ajoutée, un autre composant appelé Finder est implémenté. Il vole les identifiants de connexion du navigateur et les cookies. Le Finder va empaqueter les données volées et les envoyer au serveur de contrôle de l’opérateur. Un serveur de contrôle distinct est également utilisé pour relayer les commandes du logiciel malveillant concernant la fréquence à laquelle les robots vérifient les informations volées.
L’extension malveillante utilisera différentes ressources en fonction du navigateur utilisé. Les annonces seront injectées dans les sessions du navigateur ou les scripts généreront du trafic en arrière-plan à l’insu de la victime.
“La majeure partie du code du framework est liée à la fraude publicitaire et inclut des scripts qui recherchent et remplacent le code associé aux annonces sur les pages web [ainsi que] du code permettant de signaler les clics et autres données à l’infrastructure de commande et de contrôle”, a déclaré Flashpoint.
Le code ne s’active pas sur tous les sites visités par une victime infectée et des listes noires, comprenant des domaines Google et des sites russes, sont utilisées par le malware. Un certain nombre de sites Web pornographiques figurent également sur la liste noire, ce qui, selon les chercheurs, est probablement dû au risque de “décrédibiliser les fausses impressions”.
Selon Flashpoint, le plus grand nombre de tentatives d’installation a eu lieu en Russie, en Ukraine et au Kazakhstan.
La firme de cybersécurité a fourni des indicateurs de compromission (IOC) auxquels on peut accéder ici. Dans les actualités liées cette semaine, un développeur chinois bien connu d’applications Android, CooTek, a été banni de la plate-forme publicitaire Google après avoir tenté de contourner les restrictions en matière de publicité intrusive.
Le développeur a créé une bibliothèque de publicités qui rend les téléphones presque inutilisables en raison d’affichages publicitaires agressifs. Malgré l’obligation de rafraîchir ses applications sans la bibliothèque, CooTek a continué d’enfreindre les règles de Google concernant la visibilité des publicités sur les appareils Android.
Pour en savoir plus: