Technologie

PornHub: Le site affichait des annonces injectées avec des malwares

Par

le

Les internautes qui visitent PornHub pourraient avoir été visés par une importante campagne de «malvertising» en cours depuis plus d’un an.

Depuis plus d’un an, les publicités sur le populaire site de partage de vidéos et d’images porno PornHub ont été détournées dans le cadre d’une campagne frauduleuse visant à infecter les visiteurs du site avec des malwares, selon des chercheurs en sécurité.

La campagne a été récemment arrêtée après la découverte de la firme de cybersécurité Proofpoint mais on craint que des millions d’utilisateurs situés aux États-Unis, au Canada, au Royaume-Uni et en Australie aient été exposés et que plusieurs aient pu être infectés par le virus Kovter alors que l’attaque était active.

Derrière la campagne, selon Proofpoint, se trouvait le groupe KovCoreG, des pirates plus connus pour leurs efforts pour distribuer plus largement le malware publicitaire Kovter à travers une variété de tactiques.

Pour mener à bien cette attaque, le groupe KovCoreG a visé Traffic Junky, un réseau publicitaire qui diffuse des publicités sur les versions mobile et desktop d’un certain nombre de sites Web, dont la grande majorité sont de nature pornographique. Le réseau comprend RedTube, YouPorn, XTube, xHamster et, bien sûr, PornHub.

KovCoreG a choisi de s’en prendre particulièrement à PornHub et il est assez facile de voir pourquoi. Malgré le contenu graphique partagé sur le site, PornHub est l’un des sites les plus fréquentés sur le web. Il compte plus de 280 millions d’impressions par jour et est le 21e site le plus visité aux États-Unis et le 38e au monde selon les classements Alexa.

Pour mener à bien l’attaque, le groupe KovCoreG a injecté des liens malveillants dans des publicités qui s’afficheraient sur PornHub. Lorsqu’un internaute cliquait sur l’une des publicités, il était redirigé vers un site Web qui prétendait proposer une mise à jour logicielle critique pour son navigateur Web, Mozilla Firefox ou Google Chrome, ou bien encore pour le populaire plugin Adobe Flash.

Si l’utilisateur télécharge la fausse mise à jour, il reçoit une charge utile malveillante contenant le programme Kovter. Une fois que Kovter est installé sur une machine, il prend le contrôle et commence à visiter des sites Web remplis de publicités sur lesquelles le logiciel malveillant clique pour générer des revenus pour les attaquants.

Kovter fonctionne plutôt discrètement sur le système. Le logiciel est d’abord indétectable car aucun changement sur la machine n’est visible et aucun nouveau programme n’apparaît sur le bureau. Cependant, l’attaque est assez persistante et peut créer des problèmes pour les victimes au fil du temps, car elles sont exposées à d’autres sites malveillants.

L’attaque pourrait également évoluer dans les prochaines itérations, avertit Proofpoint. Alors que la charge utile est maintenant un malware qui commet une fraude publicitaire, les versions futures pourraient contenir des ransomwares ou d’autres malwares destructeurs qui tiennent en otage ou détruisent des informations sensibles sur la machine.

Depuis la découverte de l’attaque par Proofpoint, PornHub et Traffic Junky ont pris des mesures pour supprimer l’attaque et les contenus infectés qui mettent en danger les visiteurs du site. Les services auraient agi rapidement une fois informés de l’attaque.

Afin de s’assurer que les utilisateurs n’ont pas été infectés par Kovter ou d’autres logiciels malveillants, Proofpoint conseille à toute personne ayant visité PornHub d’effectuer une analyse de sécurité anti-malware pour confirmer que leur système n’a pas été compromis.

Articles recommandés