Archives par mot-clé : publicité

Malware Zacinlo : outil pour fraude publicitaire

Un nouveau malware appelé Zacinlo, spécialisé dans la fraude publicitaire découvert. Il infecte le PC de l’utilisateur pour ensuite ouvrir des sessions de navigateur invisibles dans le but de charger des bannières publicitaires et de simuler des clics sur ces dernières, ou encore remplacer les publicités naturelles dans le navigateur par celles du pirate pour détourner les revenus publicitaires générés.

Cet adware a plusieurs caractéristiques qui ont attiré l’attention  :

  • Zacinlo contient un driver de type rootkit, qui se protège lui-même ainsi que ses autres composants. Celui-ci peut stopper des processus jugés dangereux pour le fonctionnement de l’adware, tout en empêchant son arrêt ou sa suppression. Les chercheurs ont également relevé la présence de fonctionnalités « man-in-the-browser » qui interceptent et déchiffrent les communications SSL. Cela permet à l’adware d’injecter du code JavaScript personnalisé dans les pages Internet visitées par l’utilisateur. Les malwares basés sur des rootkits sont EXTRÊMEMENT rares, et constituent généralement moins de 1% des menaces habituelles. Ils sont également très difficiles à éliminer car ils s’intègrent profondément au système d’exploitation.
  • Zacinlo inclut un programme de nettoyage d’adware, utilisé pour éliminer la « concurrence » potentielle pour l’espace publicitaire. Il est plutôt générique et ne cible pas de famille ou de type d’adware en particulier.
  • Il collecte des informations à propos de l’ordinateur infecté. Par exemple, si un logiciel antivirus est installé ou non (et si oui, lequel), quelles applications se lancent au démarrage, etc.
  • Il prend des captures d’écran et les envoie au serveur de commande et contrôle pour analyse. Cette fonctionnalité menace la vie privée des victimes car les captures d’écran peuvent contenir des informations sensibles telles que des e-mails, des conversations privées, des identifiants ou des coordonnées bancaires.
  • Il peut faciliter l’installation de quasiment n’importe quel nouveau logiciel de manière transparente, sans arrêter de fonctionner et ainsi étendre ses fonctionnalités.
  • Il ajoute ou remplace des publicités lors de la navigation en cherchant des objets de type « DOM » par taille, par style, par classe ou expressions régulières spécifiques.
  • Il extrait des publicités de plusieurs plateformes, dont Google AdSense.
  • Il ouvre des pages Internet en arrière-plan dans des fenêtres cachées, et interagit avec elles comme un utilisateur normal : en les faisant défiler, en cliquant et en utilisant le clavier. Il s’agit d’un comportement typique des fraudes publicitaires, qui inflige d’importants dommages financiers aux plateformes publicitaires en ligne.
  • Zacinlo utilise énormément de projets et de bibliothèques Open-Source (ex : chromium, cryptopop, jsoncpp, libcef, libcurl, zlib).
  • Il utilise des scripts Lua pour télécharger différents composants (très certainement afin de passer inaperçu aux yeux de certains programmes antivirus qui détectent les téléchargements suspects et les bloquent).
  • Il dispose d’un design extrêmement paramétrable et hautement modulaire, ce qui lui permet d’étendre ses fonctionnalités grâce à des scripts et des fichiers de configuration disponibles via les infrastructures de commande et contrôle.

Ce malware est présent principalement aux États-Unis et semble avoir une certaine affinité pour Windows 10. La France et l’Allemagne font également partie des pays qui en sont victimes, bien que le nombre d’infections soit un peu plus bas qu’aux États-Unis jusqu’ici.  Un livre blanc édité par BitDefender détaille ce nouveau malware ICI .

Stegano, un malware publicitaire infectant de nombreux sites Internet

Découverte de Stegano, un nouveau kit d’exploitation se propageant via des campagnes publicitaires. De très nombreux sites Internet à forte notoriété ayant des millions de visiteurs quotidiens ont été touchés. Au cours des deux derniers mois, Stegano a été affiché auprès de plus d’un million d’utilisateurs. Stegano se cache dans les images publicitaires (en Flash) affichées sur les pages d’accueil des sites Internet.

Depuis le début du mois d’octobre 2016, des cybercriminels ciblent les utilisateurs d’Internet Explorer et analysent leur ordinateur pour détecter les vulnérabilités dans Flash Player. En exploitant leurs failles, ils tentent de télécharger et d’exécuter à distance différents types de malwares.

Ces attaques se rangent dans la catégorie des publicités malveillantes, c’est-à-dire que des codes malicieux sont distribués via des bannières publicitaires. La victime n’a même pas besoin de cliquer sur la publicité : il suffit qu’elle visite un site Internet l’affichant pour être infecté. Elle est alors renvoyée automatiquement vers un kit d’exploitation invisible permettant aux cybercriminels d’installer à distance des malwares sur son ordinateur.

« Certaines des charges utiles que nous avons analysées comprennent des chevaux de Troie, des portes dérobées et des logiciels espions, mais nous pouvons tout aussi bien imaginer que la victime se retrouve confrontée à une attaque par ransomware, » explique Robert Lipovsky, senior malware researcher chez ESET. « Cette menace montre combien il est important d’avoir un logiciel entièrement patché et d’être protégé par une solution de sécurité efficace et reconnue. Si l’utilisateur applique ces recommandations, il sera protégé contre ce genre d’attaque.» poursuit Robert Lipovsky.

« Stegano » fait référence à la sténographie, une technique utilisée par les cybercriminels pour cacher une partie de leur code malveillant dans les pixels d’images présents dans les bannières publicitaires. Ceux-ci sont masqués dans les paramètres contrôlant la transparence de chaque pixel. Cela entraîne un changement mineur des tons de l’image, rendant ces derniers invisibles à l’œil nu pour la victime potentielle.

Pour vous protéger, bannissez Flash de vos ordinateurs !

Fraude dans la publicité mobile : comment la mettre K.O

Avec l’apparition des Smartphones, la publicité digitale sur le mobile est devenue le nouvel Eldorado des annonceurs. Interactivité, accessibilité, capacités pointues de ciblage… les avantages du mobile sont nombreux et expliquent les budgets publicitaires considérables investis sur ce support. Mais, de manière presque attendue et comme cela fut le cas pour la publicité sur desktop, l’explosion de cette jeune industrie s’est accompagnée d’une menace bien réelle pour les annonceurs : LA FRAUDE. 

Moins connue du grand public – car elle ne touche pas les consommateurs finaux, la fraude sur le mobile a pourtant un coût considérable pour les annonceurs : 1.3 milliards de dollars en 2015 et ce seulement aux Etats-Unis, selon la dernière étude d’Ernest & Young*. En quoi consiste cette fraude ? Comment peut-on identifier les acteurs frauduleux ? D’où viennent-ils ? Comment les contrer ?

La fraude, qu’est-ce-que c’est ?
Afin de mieux comprendre ce qu’est la fraude sur le mobile, revenons rapidement sur les principes basiques de la publicité digitale. Un annonceur souhaite cibler des utilisateurs de Smartphones afin de communiquer sur sa marque, son application ou son site. Il va pour cela payer un montant fixe à un éditeur pour la réalisation d’une action sur son trafic (impression d’une publicité, clic, téléchargement d’app, inscription sur un site,…). L’éditeur, qui offre généralement du contenu gratuit sur son application ou site web, se voit donc offrir une opportunité unique de monétiser son audience et de construire ainsi un modèle économique pérenne. Jusque là … tout va bien. Seulement voilà, des éditeurs peu « scrupuleux »  ont décidé de « rafler la mise » en simulant des fausses actions sur leur trafic. L’annonceur, qui souhaitait acquérir des utilisateurs qualifiés, se retrouve donc avec une part non-négligeable d’utilisateurs  non-qualifiés voire inexistants !

La conséquence directe et mathématique est que l’annonceur se retrouve avec un prix de revient réel beaucoup plus élevé que prévu.  Or ses budgets n’étant pas extensibles, il va devoir exercer une pression déflationniste sur les prix. C’est alors toute la chaîne des éditeurs qui en paie les conséquences… fraudeurs inclus !

Détecter la fraude, un combat du quotidien
Il existe aujourd’hui toute une panoplie de pratiques permettant de détecter la fraude. Il s’agit d’un exercice à la fois simple et complexe mêlant rigueur et technologie. Différents principes de bons sens et basés sur l’expérience du métier permettent d’obtenir de très bons résultats et de proposer une approche systématique ayant pour objectif d’écarter le risque potentiel de fraude. Il ne s’agit donc pas de trouver la formule magique qui permettra de se mettre à l’abri de la fraude mais de combiner plusieurs approches afin de rendre de plus en plus compliqué le travail des fraudeurs jusqu’à ce qu’ils décident eux-mêmes d’abandonner ou de s’attaquer à une autre proie plus faible.

Les schémas frauduleux les plus classiques et quelques approches pour le contrer : Les robots prennent le contrôle… Non ce n’est pas le titre du dernier Spielberg.  Certains hackers ont bel et bien mis au point des robots capables de « regarder » des publicités, cliquer dessus et même installer des applications. Ces techniques sont en fait l’héritage d’une longue pratique de la fraude sur Desktop et représentent aujourd’hui sur le mobile, la majorité des cas de fraude. Une solution ? Le meilleur moyen pour contrer ces robots est d’analyser en temps réel les campagnes : depuis quels terminaux sont vues les publicités, quelles adresses IP, quel langage de terminal, quelle redondance pour une même action de la part d’un utilisateur, quel timing entre le clic et l’action, etc. Autant de données et de paramètres permettant d’identifier des tendances suspectes, des proxy et des robots, et donc de bloquer la source à l’origine du trafic frauduleux.

Pas de robots mais une performance exceptionnelle de campagne pour une très faible qualité ? L’annonceur est probablement victime d’une fraude tout aussi courante :  le trafic incentivé (i.e l’utilisateur reçoit une prime à l’action). Cette fois, les utilisateurs sont bel et bien « réels ». Seulement ils sont « payés » par l’éditeur pour voir, cliquer ou faire une action. Résultats : des taux de conversions très intéressants, mais un taux d’engagement ou de fidélité à la marque très faible. Là encore une analyse du trafic (taux de conversion horaire, taux d’engagement de l’utilisateur ,…) permettra de dégager des tendances assez flagrantes et de bloquer les sources frauduleuses.

Les utilisateurs ne sont pas du tout actifs, pourtant il est certain qu’ils ne viennent pas de trafic incentivé. Dans ce cas, l’annonceur est exposé à une fraude encore plus sournoise : les « fermes » d’installations mises en place dans certains pays. Les employés de ces « fermes » sont payés pour installer des milliers de fois la même application à partir du même terminal en simulant des utilisateurs différents. Comment ? Par une opération très simple que les systèmes de tracking ne parviennent pas encore à repérer : ils installent et ouvrent l’application sur leur terminal, la désinstallent, réinitialisent leur identifiant de terminal et répètent l’opération des dizaines de fois, le tout en se cachant derrière des proxy. Laborieux mais ingénieux. Il faut donc être malin et, une nouvelle fois, analyser les données reçues, notamment le nom et le langage du terminal. En effet, les terminaux ont généralement un nom, et envoient le langage de la machine lors de l’installation. Par exemple si l’on observe pour une même campagne ciblant les Etats-Unis, plusieurs téléchargements provenant de terminaux portant le même nom d’utilisateur (e.g iPhone de Michael) et ayant le même language (e.g VN pour Vietnam), il s’agit très certainement de téléchargement frauduleux en provenance d’une de ces « fermes » d’installations localisées dans le pays. Ou alors c’est vraiment que votre produit cartonne chez les Vietnamiens habitant aux Etats-Unis!

Ceci n’est malheureusement qu’un échantillon limité des actions frauduleuses observées sur le mobile. Il existe des pratiques encore plus sophistiquées que de bons algorithmes sauront débusquer (click spamming, « viewability » de campagne, …).

Des techniques pour gagner votre combat
L’écosystème des éditeurs de media mobile est une véritable jungle dans laquelle se glissent facilement des intermédiaires mal intentionnés. S’il est difficile d’y voir clair et de désigner un coupable, il existe heureusement des outils et des méthodologies permettant de se protéger de façon très efficace. Annonceurs, ne soyez donc pas paranos ! Le marketing mobile – bien qu’encore à ses débuts – est un monde d’opportunités qui s’ouvre à vous avec de nouvelles possibilités de ciblage et de transformations jusqu’alors inédites sur le digital. Au contraire, l’activité frauduleuse est par nature court-termiste et nocive à l’ensemble du secteur. Il est donc fort à parier qu’avec le temps et la mise en place de bonnes pratiques, cette épidémie deviendra bien moins menaçante, comme cela a été le cas pour le Desktop.

Montrez donc l’exemple et soyez plus rusés que les fraudeurs pour déjouer leurs tentatives : Multipliez les sources de trafic (RTB, social, ad-networks …), les formats (display, vidéo, rich media, …) et les approches (retargeting, …) . Traquez et analysez au mieux l’engagement des utilisateurs. Choisissez le bon partenaire pour vous aider et vous aiguiller dans l’achat média. Toute source de trafic comprend des utilisateurs plus ou moins qualifiés, le tout est de savoir faire le tri et évacuer la pollution des fraudeurs ! (Par Stéphane Pitoun, Co-Fondateur et CEO d’Adxperience)

Les internautes allemands confrontés à des publicités malveillantes

Les clients du Fournisseur T-Online et du site eBay visés par des publicités malveillantes. Un cheval de Troie était installé dans les ordinateurs des victimes.

Sale ambiance, fin de semaine dernière, pour des milliers d’internautes allemands. Des pirates informatiques ont réussi l’infiltration d’une importante régie publicitaire locale, MP NewMedia. Lors de cette intrusion, les malveillants ont fait de manière à afficher de fausses annonces sur d’importants sites web (boutique, presse, …).

Parmi les diffuseurs involontaires d’un cheval de Troie, le fournisseur d’accès à Internet T-Online ou encore eBay. Dans le cas du FAI, dès qu’un visiteur souhaitait se rendre sur son compte mail, une message lui proposait de télécharger un logiciel. Derrière le programme, un code malveillant d’espionnage ! Tous les clients ayant visité T-Online, du vendredi 16 octobre au dimanche 18 octobre ont pu être compromis.

Prudence, il y a de forte chance que les pirates se soient attaqués à d’autres régies publicitaires. (MalwareBytes)

Un malware attaque les visiteurs de plusieurs gros sites Internationaux

AOL, Match.com, Societe.com, ainsi que plusieurs autres importants sites Internet se sont retrouvés à diffuser, sans le savoir, des publicités aux contenus malveillants.

La semaine dernière, les chercheurs de la société Proofpoint ont détecté de nombreux sites web à fort trafic touchés par une campagne de malvertising, des publicités piégées ayant pour mission d’infiltrer les ordinateurs des visiteurs. Plusieurs dizaines d’importants espaces ont été touchés, dont le français societe.com ou encore Match.com et des domaines appartenant à AOL et Yahoo!

3 millions de visiteurs, par jour, ont pu être touchés par cette attaque. L’idée des pirates est d’utiliser les canaux de diffusion de publicités en ligne pour piéger des ordinateurs (sous Windows, NDLR), mais aussi des smartphones et tablettes (sous android, NDLR), via des logiciels espions. Exploiter des failles de régies pubs offre aux pirates une vivier de « clients » potentiellement énorme.

Les attaques malvertising sont particulièrement difficiles à détecter parce que la plupart des publicités sur les sites diffuseurs  proviennent de plusieurs réseaux publicitaires, et donc, changent selon les visiteurs. Parmi les diffuseurs realestate.aol.com, theatlantic.com, 9GAG, match.com ou encore theage.com.au, stuff.co.nz, societe.com, beaconnews.suntimes.com. [proofpoint.com]

Publicités « in app », nouveaux pièges des fraudeurs en ligne

G Data met en garde les utilisateurs de smartphones et de tablettes : les cyber escrocs publient à grande échelle des publicités dites « in app » pour attirer les utilisateurs dans le piège de la souscription par SMS surtaxés. Intégrées dans des applications légitimes gratuites, ces fausses publicités dont l’affichage est totalement intégré à l’application passent à travers les systèmes de protection anti-hameçonnage. DataSecuritybreach.fr rappelle régulièrement que les systèmes mobiles constituent une source d’inspiration croissante pour les cybercriminels. Cette alerte sur les publicités « in app » confirme une nouvelle fois cette tendance que datasecuritybreach.fr vous présente, malheureusement, très souvent dans ses colonnes.

Fraudes « in app », démonstration par l’exemple

Le G Data SeucrityLabs a identifié plusieurs publicités in app frauduleuses usurpant la solution MobileSecurity de G Data. Diffusées dans de nombreux pays en différentes langues, ces publicités sont affichées dans diverses applications gratuites. Les bannières invitent l’utilisateur à protéger son appareil des dangers. Une fois la bannière cliquée, l’utilisateur est dirigé vers une page intégrée dans l’application gratuite : elle lui propose l’achat de G Data MobileSecurity. Problème, aucune solution n’est disponible après paiement, mais surtout le tarif est prohibitif : inscrites en petit caractère sur les fenêtres de validation de commande, les sommes oscillent selon les pays entre 4 et 15 € par semaine ! Les paiements sont réalisés par souscription à des services SMS surtaxés. En France c’est le système Internet+ qui est utilisé : le coût est automatiquement répercuté sur la prochaine facture d’abonnement mobile ou Internet.

Exemples d’in apps multilingues vendant de faux services sous la marque G Data « La publicité in- app devient de plus en plus attrayante pour les fraudeurs en ligne », explique à datasecuritybreach.fr Ralf Benzmüller , Directeur du G Data SecurityLabs. « Totalement intégrées aux applications, les pages relatives à ces annonces ne passent pas par le navigateur Internet. La plus grande vigilance est donc requise. Les utilisateurs doivent lire attentivement l’offre et les petits caractères dans les termes et conditions pour éviter de tomber accidentellement dans un piège d’abonnement. Les cyberescrocs utilisent des sociétés-écrans pour proposer ces fausses applications. Le paiement étant effectué par l’intermédiaire du fournisseur de réseau mobile ou Internet, obtenir un remboursement peut se révéler complexe. »

Publicité in app, une activité en pleine expansion La publicité in app constitue un pilier fondamental dans le marché ultra dynamique de l’application mobile. Une étude Juniper Research estime que le marché des publicités In App devrait s’élever à 7,1 milliards de dollars en 2016. Pour les éditeurs d’applications gratuites, les annonces intégrées dans leurs applications constituent leur principale source de revenus. Pour les éditeurs de solutions payantes, la promotion de leur application via les publicités in app leur assure une visibilité ciblée et massive. Une effervescence qui profite aussi aux fraudeurs. Par manque de contrôle, les agences spécialisées en placement de publicités in app laissent passer des sociétés peu scrupuleuses qui usurpent l’identité de logiciels pour vendre de fausses applications à prix d’or.