Résumé:
- Les notifications push sont désormais utilisées comme systèmes de diffusion de logiciels malveillants, et les utilisateurs s'y abonnent sans le savoir.
- Les fausses invites CAPTCHA constituent désormais une porte d'entrée vers des attaques continues de piratage de navigateur et de phishing.
- Les sites WordPress détournent discrètement les utilisateurs via des commandes DNS invisibles et des charges utiles JavaScript courantes.
Des enquêtes récentes ont révélé une alliance inquiétante entre des pirates informatiques de WordPress et des entreprises de technologies publicitaires commerciales, créant une vaste infrastructure de diffusion de logiciels malveillants à l'échelle mondiale. Ces attaques ciblent spécifiquement les sites utilisant le système de gestion de contenu WordPress, les rendant ainsi vulnérables au piratage.
Une recherche a révélé que Informations sur les menaces d'Infoblox Au cœur de cette opération se trouve VexTrio, un système de distribution de trafic (TDS) chargé de rediriger les internautes à travers des couches de fausses publicités, des redirections trompeuses et des notifications push frauduleuses. Ce système permet aux pirates d'atteindre des millions d'utilisateurs.
Le rapport allègue que plusieurs sociétés commerciales, dont Los Pollos, Partners House et RichAds, sont impliquées dans ce réseau, agissant comme intermédiaires et facilitateurs. Ces entreprises utilisent des techniques publicitaires sophistiquées pour dissimuler le logiciel malveillant.
La relation avec Los Pollos et l'échec de la fermeture
Infoblox a initialement lié le réseau Los Pollos à VexTrio lorsque le premier était impliqué dans des campagnes de désinformation russes.
En réponse, Los Pollos a affirmé qu’ils mettraient fin à leur modèle de « monétisation via des liens de paiement ».
Cependant, une activité malveillante latente a persisté alors que les attaquants ont migré vers un nouveau système TDS appelé Help, finalement lié à VexTrio. Ce changement souligne la résilience des acteurs malveillants et leur capacité à s'adapter aux tentatives de perturbation de leurs opérations.
Les vulnérabilités de WordPress ont servi de point d'entrée à de multiples campagnes de malwares, les attaquants compromettant des milliers de sites web et implantant des scripts de redirection malveillants. Ces scripts s'appuyaient sur les enregistrements DNS TXT comme mécanisme de commande et de contrôle pour déterminer la destination des visiteurs web. Cette tactique permettait aux attaquants de contrôler et de diriger le trafic en toute discrétion.
Une analyse de plus de 4.5 millions de réponses DNS entre août et décembre 2024 a révélé que, bien que les différentes souches de malwares semblaient distinctes, elles partageaient une infrastructure, un hébergement et des comportements communs, tous menant à VexTrio ou à ses proxys, notamment Help TDS et Disposable TDS. Cette similarité d'infrastructure suggère une coordination centralisée ou un ensemble d'outils partagés entre les différentes campagnes.
JavaScript présentait les mêmes fonctionnalités sur ces plateformes, perturbant les commandes du navigateur, forçant les redirections et attirant les utilisateurs avec de faux concours. Ces techniques visaient à inciter les utilisateurs à révéler des informations personnelles ou à télécharger des logiciels malveillants.
Il est intéressant de noter que ces systèmes TDS sont intégrés à des plateformes publicitaires qui se présentent comme des réseaux d'affiliation légitimes. Cette intégration rend difficile la détection des activités malveillantes et leur séparation du trafic publicitaire légitime.
Les chercheurs ont noté que « ces entreprises entretenaient des relations exclusives avec les éditeurs affiliés, et dans ce contexte, avec les attaquants, et connaissaient leur identité. » Cela suggère une possible complicité ou négligence de la part des entreprises de technologies publicitaires.
Les notifications push sont devenues une menace particulièrement puissante. Les utilisateurs sont incités à activer les notifications de leur navigateur à l'aide de fausses invites CAPTCHA. Cette technique exploite la confiance des utilisateurs dans les mécanismes de sécurité courants.
Les pirates envoient ensuite des liens de phishing ou des logiciels malveillants après l'inscription de l'utilisateur, contournant ainsi les paramètres du pare-feu et même Le meilleur logiciel antivirusCe contournement rend difficile pour les utilisateurs de se protéger des attaques.
Certaines campagnes acheminent ces messages via des services fiables comme Google Firebase, ce qui complique leur détection. L'utilisation de services légitimes masque la nature malveillante des messages et les rend plus difficiles à détecter par les systèmes de sécurité.
Le chevauchement entre les plateformes publicitaires, notamment BroPush, RichAds et Partners House, complique l'attribution. Ce chevauchement rend difficile l'identification et la responsabilisation des responsables des attaques.
Des systèmes DNS mal configurés et des scripts réutilisés indiquent un contexte commun, voire un environnement de développement commun. Cela suggère que les acteurs malveillants utilisent un ensemble commun d'outils et de techniques.
Pour lutter contre le risque, les utilisateurs doivent éviter de déclencher des alertes de navigateur suspectes et utiliser des outils qui fournissent un accès au réseau sans confiance (ZTNA) et soyez prudent lorsque vous utilisez les invites CAPTCHA. Ces mesures peuvent aider les utilisateurs à se protéger des attaques.
En mettant à jour WordPress et en surveillant les anomalies DNS, les administrateurs de sites web peuvent réduire les risques de piratage. Une maintenance régulière et des mesures de sécurité proactives sont essentielles pour protéger les sites web des attaques.
Cependant, les entreprises de technologie publicitaire pourraient avoir le pouvoir et la clé pour mettre fin à ces activités si elles décident d'agir. Elles ont la responsabilité de contribuer à prévenir les activités malveillantes sur leurs plateformes.
