Début 2015, les visiteurs du site Web pour adultes xHamster ont constaté une augmentation considérable des logiciels malveillants, selon un rapport publié sur le blog Malwarebytes. Les 25 et 26 janvier 2015, ils ont constaté une augmentation de 1 500 % des infections par des logiciels malveillants provenant de xHamster.
Pire encore, il est toujours là.
Qu'est-il arrivé? Que pouvez-vous faire si vous êtes infecté ? Et comment pouvez-vous vous protéger ?
Selon MalwareBytes, la page d'accueil de xHamster était liée à traffichaus.com, où une iframe hébergée là-bas servait de passerelle vers une publicité malveillante. Cette publicité utilisait une vulnérabilité dans Adobe Flash Player pour télécharger un logiciel malveillant appelé Bedep. La pratique consistant à injecter des publicités malveillantes dans un site comme celui-ci est connue sous le nom de publicité malveillante et peut souvent passer inaperçue. En conséquence, de nombreuses applications antivirus ont initialement manqué l'infection dans l'iframe. Selon IBTimes, 57 applications ont manqué l'iframe, et seules deux ont détecté le téléchargement du logiciel malveillant.
Cette infection est un exemple d'attaque qui utilise un kit d'exploit (EK) - dans ce cas, un connu sous le nom d'Angler. Un EK recherche des vulnérabilités de sécurité sur votre ordinateur qui peuvent être utilisées pour vous infecter en arrière-plan à votre insu. Angler est l'un des EK les plus performants en utilisant une combinaison de techniques complexes pour éviter la détection. Il a également été largement adopté par les cybercriminels pour les services de logiciels malveillants "pay-per-install" car il réduit les prix de la concurrence.
Une fois que Angler EK a téléchargé Bedep sur votre ordinateur, le logiciel malveillant se connectera à un serveur Command &Control (C&C) qui émettra des instructions. Il peut s'agir de télécharger des logiciels malveillants supplémentaires sur votre ordinateur ou de diffuser des publicités frauduleuses.
Bedep a d'abord réussi à éviter la détection en utilisant Angler pour charger directement en mémoire et ouvrir une nouvelle instance d'Internet Explorer sur un bureau virtuel. Cela signifiait qu'il pouvait se cacher en utilisant des propriétés de fichier Microsoft légitimes. Heureusement, la plupart des principaux fournisseurs d'antivirus ont maintenant mis à jour leurs définitions pour inclure le Bedep difficile à repérer.
Avec la possibilité de télécharger des logiciels malveillants supplémentaires sur votre ordinateur, cela pourrait entraîner le vol de vos informations privées. Pire, le malware pourrait désactiver votre antivirus, voire modifier les paramètres de votre système. Une enquête de TrustWave a révélé que Bedep aurait même pu être utilisé comme moyen de propagande politique en vous dirigeant vers certaines vidéos et sites Web politiques afin d'augmenter le nombre de vues.
Si vous avez eu la malchance d'être infecté par Bedep, vous voudrez probablement vous en débarrasser le plus tôt possible. Bien qu'il puisse initialement ne diffuser que des publicités de spam, il peut également être utilisé pour distribuer d'autres logiciels malveillants en arrière-plan. Seriez-vous heureux si votre PC collectait vos informations privées ou était détourné pour fonctionner comme un robot zombie ?
Bien que l'antivirus Windows Defender de Microsoft (Microsoft Security Essentials pour Windows 7 et versions antérieures) soit connu pour détecter et supprimer Bedep, il n'est pas considéré comme l'antivirus le plus robuste. Heureusement, il existe de nombreuses autres options, payantes et gratuites, qui pourraient mieux vous convenir.
Si vous ne recherchez pas un logiciel antivirus complet, une excellente alternative est le logiciel anti-malware MalwareBytes. Si vous parcourez les forums de sécurité et les discussions sur la suppression des logiciels malveillants, MalwareBytes est souvent la première recommandation. Il peut rechercher tous les types de logiciels malveillants et les supprimer automatiquement. Il peut également vous protéger contre une infection en surveillant les exploits actuels et en bloquant les connexions compromises.
Pour vous protéger, il est préférable d'éviter xHamster. Bedep n'est pas la première fois que le site est compromis et ce ne sera probablement pas la dernière. D'autres sites populaires pour adultes comme PornHub et RedTube sont également connus pour distribuer des logiciels malveillants.
Adobe Flash Player a l'une des pires réputations de sécurité de tous les logiciels de l'histoire. C'est pourquoi de nombreuses entreprises le suppriment progressivement et pourquoi Steve Jobs n'a pas autorisé Flash sur les appareils iOS. Si vous devez absolument utiliser Flash, protégez-vous en vous assurant de disposer de la dernière version. Bien que de nombreuses publicités en ligne vous demandent de télécharger la "dernière mise à jour pour Flash", vous ne devez la télécharger qu'à partir du site Web d'Adobe.
Le kit d'exploitation Angler recherche des bogues ou des failles de sécurité non corrigées pour trouver le meilleur moyen de distribuer sa charge utile. Angler est également connu pour être l'un des premiers à intégrer les exploits Flash Zero Day. S'assurer que votre logiciel est toujours à jour est l'un des moyens les plus efficaces de vous protéger.
Comme Angler cible souvent les sites Web en compromettant les réseaux publicitaires, certains conseils suggèrent d'utiliser des bloqueurs de publicités comme couche de sécurité. Cependant, cela ne fonctionne que tant que l'attaque provient d'une publicité compromise. Si l'attaque utilise d'autres méthodes comme JavaScript, les bloqueurs de publicités sont inefficaces. Vous pourriez comparer cela à fermer la fenêtre mais laisser la porte ouverte.
xHamster est l'un des sites Web les plus populaires au monde, avec un classement Alexa actuel du 79e site le plus visité au monde. Les sites pour adultes sont souvent considérés comme des cibles faciles pour la diffusion de logiciels malveillants, car ils ne sont souvent pas soumis aux mêmes normes ou précautions que les autres zones du Web.
Bien que xHamster soit le site le plus courant d'infection par Bedep, ce n'était pas le seul. Tout site Web peut être vulnérable, en particulier en ce qui concerne Flash. Espérons que de telles menaces deviendront moins probables à l'avenir, car de plus en plus de sites Web prendront en charge Flash au profit de méthodes plus sécurisées.
Pour l'instant cependant, la meilleure façon de rester protégé est de rester à l'écart des sites Web suspects, d'être attentif aux téléchargements indésirables, d'utiliser un antivirus ou un autre logiciel de sécurité et de s'assurer que tout est à jour.
Avez-vous traité avec Bedep ? Comment vous en êtes-vous débarrassé ? Connaissez-vous d'autres applications qui fonctionnent pour l'empêcher ou le supprimer ? Partagez vos impressions ci-dessous !