Le virus qui se cache dans une pub : pourquoi garder ses appli à jour

La découverte récente d’un logiciel malveillant bien vicieux est l’occasion parfaite d’illustrer simplement pourquoi vous ne devez pas négliger les mises à jour de vos logiciels, que non, les virus ne se cachent pas que dans les sites porno ou pirates et comment une simple image affichée dans une publicité peut vous infecter. Oui, une image dans une pub.

(image d’accroche volée à thehackernews.com)

Si s’introduire dans un site Web pour y glisser du code malicieux était une méthode de diffusion assez fréquente de virus sous toutes leurs formes, ce sont les campagnes de publicité que les pirates infectent à présent, notamment parce que ces dernières sont automatiquement diffusées sur plusieurs sites à la fois, en toute discrétion. C’est le cas du malware découvert par les chercheurs de ESET, une compagnie de sécurité.

Vicieux, le virus se dissimule dans de simples images publicitaires qui ont été affichées sur des “sites populaires” en s’inspirant de la stéganographie, une technique permettant de cacher un fichier dans un autre (vous pouvez y jouer chez vous). En l’occurrence, un tout petit bout de code, un script, dont la première mission est de s’assurer que le visiteur innocent est bien vulnérable à l’attaque en cherchant une faille vieille de plusieurs mois dans Internet Explorer lui permettant de jeter un oeil à la machine afin de s’assurer qu’elle ne dispose pas d’une protection efficace et de système d’analyse avancé. Une prudence qui lui a permit de de passer inaperçu.

Les deux publicités infectées.

Les deux publicités infectées, enfin celles repérées.

C’est seulement une fois certain de ne courir aucun risque et de pouvoir effectivement infecter la victime que le petit bout de code va activer la version “offensive” de la bannière publicitaire, celle qui renverra l’internaute vers une page où le programme se mettra en quête de trois vulnérabilités dans le Flash Player, utilisé pour lire des vidéo en streaming et véritable nid à virus. Le cas échéant, le Stegano Exploit va utiliser ces failles pour lancer le téléchargement du logiciel malveillant (un payload). Les effets de cette infection observés par les chercheurs de l’ESET vont du téléchargement automatique d’autres virus au vol de fichiers en passant par la capture de données bancaires ou de mots de passe.

En jouant sur certains paramêtres les chercheurs de l'ESET font apparaître le code masqué

En jouant sur certains paramétrés les chercheurs de l’ESET font apparaître le code masqué, brouillé par du bruit aléatoire.

Outre le fait de vous apprendre qu’on peut cacher n’importe quoi dans une image, même un virus ou un script espion, cette histoire tombe à pic pour démontrer l’importance de garder ses logiciels à jour et de ne pas reporter indéfiniment l’installation des mises à jour. Les failles exploitées par le petit Stegano ont déjà été corrigées, l’une d’elle, affectant Flash, date de 2015. Les failles dans un logiciel sont très, très, très souvent utilisées pour pénétrer un système et activer un code malveillant. Les mises à jour ne servent pas qu’à changer la couleur d’un bouton ou à vous vous faire perdre du temps, elles viennent corriger des vulnérabilités. Les applications les plus importantes vous signalent généralement la disponibilité d’une nouvelle version, ne les reportez pas indéfiniment et oubliez les phrases toutes faites comme “moi tant que ça marche je change rien”.

Un petit soft qui permet de repérer les mises à jour de tous vos logiciels.

(image volée sans honte mais un peu quand même à thehackernews.com)

(image volée sans honte mais un peu quand même à thehackernews.com)

Autre leçon à tirer : Flash est bon pour la casse et la prochaine fois qu’un site vous demandera de l’installer, vous n’aurez qu’à aller ailleurs. Si jadis il était nécessaire pour lire des vidéo en streaming, aujourd’hui, il est avantageusement remplacé par une autre méthode et la plupart des sites ne l’utilisent plus (malheureusement c’est encore le cas de quelques gros acteurs, comme Facebook ou en France, la version web de FranceTVPluzz.) Mais non content d’être obsolète, Flash est depuis des années un vecteur de nombreux problèmes de sécurité.

Une antépénultième avant de partir. La première phase de « l’exploitation » (exploit) décrite ici utilise un script, un code exécutant une action de façon automatique à distance. On peut aisément les bloquer en installant une extension comme noscript (sur Chrome ou Firefox).

Enfin, pour aller plus loin, vous ne pouvez pas compter aveuglément sur votre anti-virus. Les anti-virus utilisent deux méthodes pour vous protéger. La première, ce sont les définitions, leur version à eux du fichier S, des fiches d’identités de virus, malwares, spywares, chevaux de Troyes déjà connus. La seconde méthode est plus pro-active, le logiciel analyse le comportement et le contenu des fichiers présents ou en cours de téléchargement .
Sur le marché noir des créateurs de vilains logiciels, on ne trouve pas que des listings de cartes bancaires ou d’adresses mails, on peut également s’offrir des services. L’un d’eux est la version malveillante de l’audit de sécurité, le virus est soumis à une batterie de tests basés sur les techniques de détection des principaux anti-virus. Chaque fois qu’il est repéré, on lui ajoute une nouvelle couche de chiffrement et ainsi de suite jusqu’à ce qu’il devienne invisible ou FUD pour Fully UnDetectable.  Le programme sera repéré tôt ou tard, mais même avec un anti-virus mis à jour mardi à 9h, vous pouvez être infecté à 9h15 et ne le savoir que 2 jours après.

C’était la leçon du jour. La prochaine fois, la même chose mais avec un genre de virus qui vous extorque de l’argent pour vous rendre l’accès à votre PC ou votre téléphone. Mon objectif est de vous rendre paranoïaque pour votre propre bien.

Publicités

4 réflexions sur “Le virus qui se cache dans une pub : pourquoi garder ses appli à jour

  1. Pingback: Votre PC pris en otage, les joies du Ransomware |

  2. Pingback: N’ayez plus peur des mots de passe compliqués |

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s