La créativité n’a pas de limites. Cette assertion est d’autant plus vrai dans le milieu de la cybercriminalité, où trouver de nouvelles idées pour générer des profits de manière fiable et originale constitue une nécessité pour pérenniser son activité.
Mais parmi tous les groupes criminels pullulant sur la toile, les plus créatifs sont sans conteste ceux qui s’adonnent à la malvertising (publicité malveillante). En raison de la rapidité avec laquelle les éditeurs de navigateurs ont tendance à corriger les problèmes signalés, ces groupes doivent sans cesse trouver de nouvelles astuces pour tirer profit des moindres failles mises à leur disposition.
Au cours des derniers mois, les chercheurs en sécurité de Malwarebytes, qui étudient l’évolution des groupes de malvertising et leurs campagnes respectives, ont observé une nouvelle méthode que les escrocs utilisent pour générer des profits. L’idée est d’attirer des utilisateurs peu méfiants sur des sites Web malveillants qui affichent une publicité dans une fenêtre popup. Comme la plupart des popups, un bouton “fermer” sera affiché dans le coin supérieur droit du popup.
Cependant, lorsque l’utilisateur déplace sa souris pour fermer le popup, le code CSS de cette page développera le popup et déplacera l’annonce dans le chemin du curseur, de sorte que tout clic sur le bouton fermer atterrira sur l’annonce. Comme l’explique Jérôme Segura, chercheur chez Malwarebytes, “les escrocs utilisent du code CSS ajouté dynamiquement à la page qui surveille le curseur de la souris et réagit lorsqu’il passe sur le X. Le timing est important pour capturer le clic quelques millisecondes plus tard lorsque la bannière publicitaire est au point. Ces astuces côté client sont mises en œuvre pour maximiser les profits publicitaires, puisque les revenus générés par les clics publicitaires sont beaucoup plus élevés”.
Dans un rapport publié cette semaine, Segura a déclaré que cette astuce a été régulièrement utilisée par un groupe qui a récemment été impliqué dans l’exploitation d’un plugin WordPress zero-day pour prendre le contrôle de sites. Le groupe a placé du code sur ces sites piratés pour détourner de petites quantités de trafic qu’il a ensuite redirigé vers divers types de sites, comme les escroqueries au soutien technique, les sites de fraude publicitaire ou les magasins en ligne qui hébergent du code de vol de carte de crédit. Cette astuce qui consiste à déplacer l’annonce à la place du bouton de fermeture d’une fenêtre contextuelle n’est que la dernière d’une longue série de gadgets sournois.
Dans le passé, les escrocs déclenchaient des milliers de téléchargements jusqu’à ce qu’ils gèlent les navigateurs des utilisateurs sur les escroqueries du support technique, leur faisant croire que leur ordinateur avait de sérieux problèmes ; ils créaient des boucles infinies JavaScript pour maintenir le CPU à 100% et ralentir l’ordinateur de l’utilisateur ; ou ils utilisent des curseurs personnalisés pour compenser le clic de souris et éviter de fermer des onglets (ceci a été réglé récemment). Comme cette dernière astuce pour transposer rapidement la position d’une annonce utilise du code CSS, elle ne peut pas être bloquée par un bloqueur d’annonces classique. Cependant, l’utilisation d’un bloqueur de publicité empêcherait le chargement de la publicité dans le popup en premier lieu, et rendrait ce truc inutile.
Source : www.ultimatepocket.com