AdvisorsBot : une nouvelle menace malveillante polyvalente distribuée par des spams

AdvisorsBot : une nouvelle menace malveillante polyvalente distribuée par des spams

Les hôtels, restaurants et entreprises de télécommunications sont la cible d’une nouvelle campagne de spam qui distribue une nouvelle forme de malware appelée AdvisorsBot. AdvisorsBot est un téléchargeur de malwares qui, comme de nombreuses autres variantes, est distribué par des emails contenant des pièces jointes Microsoft Word avec des macros malveillantes.

L’ouverture d’une pièce jointe infectée et l’activation des macros figurant dans le document entraîneront l’installation d’Advisorsbot. Le rôle principal de ce malware est de relever les empreintes digitales sur un appareil infecté. Les informations recueillies sur le dispositif infecté sont ensuite communiquées aux serveurs de commande et de contrôle des acteurs de la menace et des instructions supplémentaires sont fournies au malware en fonction des informations collectées sur le système. Le malware enregistre les informations système, les détails des programmes installés sur l’appareil, les détails du compte Office et d’autres informations. Il est également capable de faire des captures d’écran sur un appareil infecté.

AdvisorsBot est ainsi nommé parce que les premiers échantillons de malwares identifiés en mai 2018 ont contacté les serveurs de commande et de contrôle qui contenaient le mot advisors.

La campagne de spam est principalement menée sur des cibles aux États-Unis, mais d’autres infections ont également été détectées dans le monde entier. Selon les chercheurs en sécurité de Proofpoint qui ont découvert cette nouvelle menace, plusieurs milliers d’appareils ont été infectés par le malware depuis le mois de mai. Les pirates qui seraient à l’origine de ces attaques sont un groupe d’attaquants APT (Advanced Persistent Threat), connu sous le nom de TA555.

Différents leurres par email ont été utilisés dans cette campagne de malware pour inciter les destinataires à ouvrir la pièce jointe infectée et à activer les macros. Les emails envoyés aux hôtels semblaient provenir de personnes ayant été facturées deux fois pour leur séjour. La campagne sur les restaurants a utilisé des emails qui affirmaient que l’expéditeur a souffert d’une intoxication alimentaire après avoir mangé dans un établissement particulier, tandis que les attaques contre les entreprises de télécommunications avaient recours à des pièces jointes d’emails qui semblaient être des curriculum vitae de candidats postulant à une offre d’emploi.

AdvisorsBot est écrit en langage « C », mais une deuxième forme du malware a également été détectée. Cette variante est écrite en .NET et PowerShell. Cette deuxième variante a été nommée PoshAdvisor et elle est exécutée via une macro malveillante. Cette macro va, à son tour, exécuter une commande PowerShell qui télécharge un script PowerShell, lequel exécute le shellcode, ce qui exécute le malware dans la mémoire sans l’écrire sur le disque de l’appareil infecté.

Ces menaces de malware sont encore en cours de développement. Elles sont typiques de nombreuses menaces de malwares récentes qui disposent d’un large éventail des capacités et de la polyvalence nécessaires pour de nombreux types d’attaques différents comme le vol d’informations, la distribution de ransomwares et l’extraction de cryptomonnaie. Les actions malveillantes sont déterminées en fonction du système sur lequel le malware a été installé. Si ce système est parfaitement adapté à l’extraction de cryptomonnaie, le code correspondant sera installé. Si l’entreprise présente un intérêt particulier, elle fera l’objet d’un compromis plus large.

La meilleure forme de défense contre cette campagne est l’utilisation d’une solution avancée de filtrage de spam pour empêcher la distribution des emails malveillants, ainsi qu’une formation de sensibilisation des employés à la sécurité afin qu’ils puissent réagir au cas où une telle menace arriverait dans leur boîte de réception.

5 mesures de sécurité réseau pour protéger les périphériques clients qui en valent la peine

5 mesures de sécurité réseau pour protéger les périphériques clients qui en valent la peine

Si vous êtes comme la plupart des professionnels de l’informatique aujourd’hui, vous avez un million de choses à faire et un court laps de temps pour les accomplir.

Pour alléger notre charge sans fin, nous les réalisons souvent par commodité plutôt que selon une bonne politique. Malheureusement, les mesures que nous prenons par commodité aujourd’hui peuvent finir par créer plus de travail pour nous à l’avenir. Cela crée un cercle vicieux dont il est difficile de sortir.

Ci-dessous, j’ai décrit cinq mesures qui peuvent prendre un peu de temps au début, mais qui peuvent offrir un gain substantiel, en réduisant le recours au support technique et les attaques de malwares.

Imposer le groupe d’administrateurs locaux

Regardons les choses en face.

Faire de nos utilisateurs des administrateurs de leurs appareils est facile. Ainsi, nous n’avons pas à nous soucier des applications qui peuvent nécessiter des droits d’administrateur pour fonctionner correctement. Cependant, cela va à l’encontre de tous les aspects de l’application de la pratique du moindre privilège.

Donner aux utilisateurs les droits d’administration locaux sur leurs périphériques, c’est comme confier les clés d’une Lamborghini à un jeune de 16 ans, sans aucune limitation. À un moment donné, cela va mal finir.

Le concept du moindre privilège est simplement que les utilisateurs ne devraient avoir que les privilèges et les droits dont ils ont besoin pour faire leur travail, et rien de plus.

Disposant des droits d’administrateur, les utilisateurs ont un accès injustifié aux paramètres de configuration du logiciel dans lesquels ils ne devraient pas s’immiscer. Ils ont également des privilèges élevés qui peuvent favoriser l’installation de malwares.

Heureusement, vous pouvez facilement contrôler l’appartenance du groupe des administrateurs locaux de toutes vos machines par le biais des préférences de stratégie de groupe. Une fois activés et déployés sur l’ensemble du domaine, les comptes non autorisés seront supprimés et empêchés de s’inscrire à l’avenir.

Désactiver tout service inutilisé ou inutile

Un aspect clé du renforcement de la sécurité réseau est de désactiver tous les services sur vos dispositifs. Cette tâche peut être faite simplement, et encore une fois, par le biais des préférences de stratégie de groupe. Vous devrez créer cette politique sur une machine de gestion dotée du système d’exploitation le plus récent afin de vous assurer que tous les services sont pris en charge.

Il se peut également que vous deviez élaborer plusieurs politiques pour tenir compte des différentes configurations matérielles.

Par exemple, de nombreuses entreprises préfèrent désactiver le service Bluetooth sur les ordinateurs portables des utilisateurs pour des raisons de sécurité. Dans ce cas, la politique devrait être créée sur un appareil qui utilise ce service.

Maintenez la mise à jour des correctifs grâce à des tests appropriés

Nous sommes tous conscients de l’importance de maintenir nos machines à jour avec les derniers correctifs et mises à jour. Nous connaissons également le chaos qu’une mise à jour non testée peut occasionner sur l’expérience utilisateur.

C’est pour cette raison que de nombreuses organisations accordent un délai de 30 à 60 jours à compter de la publication des mises à jour avant de les appliquer. Evidemment, le problème est que des vulnérabilités bien connues demeurent exposées aux attaques cybercriminelles pendant cette période. Sachez que plus de 200 000 nouvelles menaces de malwares sont créées chaque jour.

Disposer d’un environnement de test virtuel, qui vous permet de valider correctement les mises à jour et les correctifs dès leur sortie, peut vous aider à identifier les conflits potentiels qui pourraient survenir dans votre environnement utilisateur.

En même temps, votre entreprise pourra déployer les mises à jour et les correctifs à l’échelle du réseau au moment opportun.

Mettre en place des pare-feux sur les périphériques locaux

Pendant des années, la plupart des organisations ont pu compter sur une stratégie de périmètre de réseau, comme un roi qui dépendait des murs de son château et des douves pour le protéger. En raison de l’évolution des stratégies militaires, appuyées par des technologies de pointe, la seule dépendance à l’égard d’une stratégie de périmètre s’est avérée fatale pour de nombreux royaumes, comme c’est le cas aujourd’hui pour de nombreux réseaux.

Dans le monde mobile d’aujourd’hui, il ne suffit pas de se fier uniquement à la protection périmétrique. Chaque périphérique qui n’est pas couvert par la sécurité du réseau doit être protégé par un pare-feu local. Encore une fois, avant toute mise en œuvre d’une solution à grande échelle, il faut procéder à des tests approfondis de toutes les applications utilisées par vos utilisateurs, qu’il s’agisse d’une application de bureau ou dans le cloud. Mais toutes ces mesures peuvent aussi nécessiter beaucoup de temps.

Réévaluez vos filtres antispam et web

Le phishing par email est la plus grande menace d’ingénierie sociale pour votre entreprise.

Certains des blogs que nous avons publiés récemment ont décrit les récentes éclosions de demandes de rançon qui ont fait des ravages dans des organisations critiques comme les hôpitaux. Ces attaques forcent les organisations à tout fermer lorsque quelqu’un a cliqué sur un lien malveillant contenu dans un email.

Nous avons également décrit certaines des escroqueries de phishing des PDG, ou Business Email Compromise. Elles ont coûté des millions de dollars à certaines des plus grandes entreprises du monde.

Le spamming n’a pratiquement aucun coût, et c’est pour cette raison que cette pratique est si répandue. Les méthodologies utilisées pour lancer des attaques sont beaucoup plus avancées qu’elles ne l’étaient il y a cinq ans.

Un seul email de phishing peut faire tomber tout votre réseau, c’est pourquoi il vaut la peine d’évaluer chaque année votre service de filtrage de spams et de comparer les caractéristiques offertes par votre solution actuelle avec d’autres options.

Une solution qui semblait tout à fait appropriée il y a cinq ans est peut-être dépassée aujourd’hui.

Le plus souvent, la flexibilité et la possibilité d’optimisation des ressources sont les principaux facteurs décisifs pour le choix d’une solution de sécurisation du réseau. Pour ces raisons, et d’autres encore, nous voyons beaucoup d’entreprises se tourner vers le filtre web avancé WebTitan. Une version d’essai gratuite de 30 jours est disponible à l’adresse https://www.titanhq.fr/webtitan.

Le nouveau domaine Web .xxx facilitera-t-il le filtrage Web ?

Le nouveau domaine Web .xxx facilitera-t-il le filtrage Web ?

Récemment, le premier site Web utilisant le nouveau domaine .xxx a été mis en ligne.

Pourquoi un nouveau domain .xxx ?

Pour donner aux lecteurs un peu de contexte, l’ICANN (Internet Corporation for Assigned Names) a décidé plus tôt cette année de créer un nouveau domaine de premier niveau pour les sites Web pour adultes ou les sites à caractère pornographique, en utilisant le suffixe « .xxx ». Le plan était que tous les sites pornographiques puissent être consignés dans un coin de l’Internet.

Pourquoi ?

L’idée sous-jacente à cette nouvelle extension était de permettre aux entreprises, aux parents et aux professionnels de la sécurité Web de bloquer des sites pornographiques en bloquant simplement l’extension.

De nombreuses entreprises de l’industrie du divertissement pour adultes devraient s’inscrire pour un nom de domaine .xxx.

Mais les entreprises qui basculent vers les nouveaux noms et qui les utilisent massivement sont sceptiques, car les analystes prédisent que de nombreuses entreprises vont simplement créer des redirections vers leurs sites « .com » principaux.

Alors, à qui profite réellement ce déménagement ?

Les opérateurs de sites pornographiques ont la possibilité d’utiliser ou non le nouveau domaine. Les opposants à ce concept estiment que, comme il ne s’agit pas d’une exigence de domaine imposé, cela ne représente aucun avantage.

Si seulement une sous-section des sites pornographiques se déplace vers le nouveau domaine, le blocage prévu des sites pornographiques via le domaine .xxx ne sera pas efficace.

Pro-domaine .xxx

Les partisans du nom de domaine .xxx considèrent ce changement comme une nouvelle façon prometteuse de filtrer la pornographie sur Internet.

Il s’agit d’un processus qui sera encore beaucoup plus efficace que le filtrage basé sur le contenu actuel.

Anti-domaine .xxx

Les analystes de WebTitan sont stupéfaits de cette décision.

Bien que certains propriétaires de sites Web de l’industrie du divertissement pour adultes enregistrent leurs sites en utilisant la nouvelle extension, il est également fort probable qu’ils conserveront encore leur domaine actuel afin de ne pas limiter leur audience.

Certains craignent également que les cybersquatteurs qui tentent d’enregistrer des noms commerciaux légitimes sur le nouveau domaine ne causent beaucoup d’embarras et ne nuisent à la réputation des entreprises déjà établies.

Et vous, qu’en pensez-vous ?

Google Chrome lance son Ad Blocker

Cela a pris un certain temps, car Google ne voulait pas avoir à prendre des mesures. Mais, finalement, le Google Chrome Ad blocker a été dévoilé. Grâce à cette nouvelle fonctionnalité de Chrome, les utilisateurs peuvent désormais bloquer les publicités intrusives s’ils le souhaitent.

Qu’est-ce que le Google Chrome Ad Blocker peut bloquer ?

Google gagne beaucoup d’argent grâce à la publicité, voici pourquoi Google Chrome Ad blocker ne bloque pas toutes les publicités, seulement celles qui sont considérées comme intrusives et gênantes. Mais ce ne sont là que des termes naturellement subjectifs. Alors comment Google va-t-il déterminer ce qui constitue une « intrusion » ?

L’un des premiers contrôles effectués par Google consiste à vérifier si les publicités sur une page Web enfreignent les normes établies par le Coalition for Better Ads, un groupe d’organisations professionnelles et de sociétés de médias en ligne qui s’engagent à améliorer l’expérience en ligne des internautes.

La Coalition for Better Ads a identifié les expériences publicitaires les moins bien classées parmi une gamme de facteurs liés à l’expérience et a établi une norme sur ce qui peut être considéré comme acceptable. Ces normes comprennent quatre types d’annonces pour les utilisateurs d’ordinateurs de bureau : pop-up ads, vidéos en lecture automatique avec son (autoplay), publicités interstitielles avec compte à rebours et grandes annonces collantes.

Il existe huit catégories couvrant la publicité mobile à savoir les publicités pop-up, les publicités interstitielles (où les publicités sont chargées avant le contenu), les publicités interstitielles avec compte à rebours, les publicités animées clignotantes, l’autoplay, les publicités scrollover plein écran, les grandes publicités collantes et la densité publicitaire supérieure à 30 %.

Google Chrome évalue les pages Web en fonction de ces normes. Si la page n’appartient pas à l’une des catégories d’annonces ci-dessus, aucune action ne sera entreprise. Google affirme que lorsque 7,5 % des publicités sur un site violent les normes, le filtre se déclenche.

Si les normes ci-dessus ne sont pas respectées, le site reçoit un avertissement et dispose d’un délai de 30 jours pour prendre des mesures adéquates. Les propriétaires de sites qui ne tiennent pas compte de l’avertissement et qui ne prennent aucune mesure se verront leur site ajouté à une liste de sites en échec. Leurs annonces publicitaires seront donc bloquées, bien que les visiteurs aient encore la possibilité de les charger sur le site en question.

L’objectif du Google Chrome Ad blocker n’est pas de bloquer les publicités, mais d’inciter les propriétaires de sites à adhérer aux normes Better Ads. Google rapporte que la menace du blocage des publicités a déjà eu un effet positif. Avant même la sortie du Chrome Ad blocker, Google a affirmé que 42% des sites avec des publicités intrusives ont déjà apporté des changements pour les rendre conformes aux normes Better Ads.

Ce changement n’était peut-être pas celui que Google voulait faire, mais c’est une étape importante qu’il fallait franchir. Les publicités intrusives sont devenues une nuisance majeure, et les internautes passent à l’action en installant des bloqueurs de publicités. Ce qui pose problème c’est que ces bloqueurs ne classent pas les publicités suivant le fait qu’elles sont ennuyeuses ou non. Ils bloquent toutes les publicités, ce qui est évidemment mauvais pour des entreprises comme Google.

Rappelons que Google a réalisé 95,4 milliards de dollars en termes de publicité l’an dernier. L’utilisation généralisée des bloqueurs de publicités pourrait donc faire une sérieuse entaille dans ses profits. Selon les chiffres de Deloitte, 31 % des utilisateurs aux États-Unis ont déjà installé des bloqueurs de publicités et ce chiffre devrait atteindre un tiers de tous les ordinateurs cette année.

Alors, est-ce que le lancement du Google Chrome Ad blocker signifiera-t-il que moins de gens utiliseront le logiciel de blocage de publicité ? Seul l’avenir nous le dira, mais c’est peu probable. Toutefois, ce changement pourrait signifier que moins de gens envisageront sérieusement de bloquer des publicités à l’avenir si les entreprises commencent à adhérer aux normes Better Ads.

Pourquoi les entreprises devraient envisager d’utiliser un filtre Web

Pour les entreprises, les publicités sont plus qu’une nuisance.

Certaines d’entre elles présentent un risque sérieux pour la sécurité. Les cybercriminels peuvent en effet utiliser des publicités malveillantes pour diriger les utilisateurs finaux vers des sites Web de phishing et des pages Web hébergeant des kits d’exploitation et des malwares.

Appelées malvertising, ces publicités malveillantes représentent un risque majeur. Bien qu’il soit possible d’utiliser un adblocker pour empêcher leur affichage, celui-ci n’empêchera pas d’autres menaces graves qui sont diffusées sur la toile. Pour une plus grande sécurité web, un filtre web s’avère donc nécessaire.

Un filtre Web peut être configuré pour bloquer différentes catégories de contenus d’un site Web que vos employés n’ont pas besoin de visiter pendant leur journée de travail. Le filtre peut être configuré pour bloquer les sites et pages web connus pour être utilisés pour le phishing ou la distribution de malwares. Par ailleurs, il peut bloquer le téléchargement de types de fichiers spécifiques tels que JavaScript et autres fichiers exécutables, c’est-à-dire des fichiers souvent utilisés pour installer des malwares.

Enfin, WebTitan permet aux entreprises de réduire le risque de malvertising sans avoir besoin d’installer de bloqueurs de publicités.

En contrôlant minutieusement les contenus web auxquels les employés peuvent accéder, les entreprises peuvent améliorer considérablement la sécurité Web et bloquer la majorité des menaces cybercriminelles.

Pour plus d’informations sur le blocage des contenus malveillants et indésirables, contactez l’équipe TitanHQ dès aujourd’hui.

La vulnérabilité du plug-in Jetpack met un million de sites Web WordPress en danger

Des chercheurs en sécurité informatique ont découvert une vulnérabilité sérieuse du plug-in Jetpack qui expose les sites à un risque d’attaque par des cybercriminels. Si vous exécutez des sites WordPress pour votre entreprise et que vous utilisez le plug-in d’optimisation de site Web Jetpack, vous devez effectuer une mise à jour dès que possible pour éviter que le défaut ne soit exploité.

La vulnérabilité du plug-in Jetpack peut être utilisée pour injecter un code JavaScript malveillant dans des sites Web ou pour insérer des liens, vidéos, documents, images et autres ressources. Cela exposerait les visiteurs du site à un risque de téléchargement de malware ou de ransomware.

Les acteurs malveillants pourraient intégrer un code JavaScript malveillant dans les commentaires du site, et chaque fois qu’un visiteur consulte un commentaire malveillant, il autorise l’exécution du code. Les visiteurs pourraient donc être redirigés vers d’autres sites Web et la faille risque d’être utilisée pour voler des cookies d’authentification et détourner les comptes d’administrateur, ou pour intégrer des liens vers des sites Web contenant des kits d’exploitation.

La faille peut également être exploitée par les concurrents pour affecter négativement le classement dans les moteurs de recherche en utilisant des techniques de spamming SEO. Ceci pourrait avoir de graves conséquences pour le classement des sites et pour le trafic.

Plus d’un million de sites Web WordPress sont affectés par la vulnérabilité du nouveau plug-in Jetpack

La vulnérabilité du plug-in Jetpack a récemment été découverte par des chercheurs de Sucuri.

La vulnérabilité est une faille Cross-Site Scripting ou XSS qui a été introduite pour la première fois en 2012 et qui a affecté la version 2.0 du plug-in. Toutes les versions ultérieures de Jetpack contiennent également la même vulnérabilité de module Shortcode Embeds Jetpack.

Jetpack est un plug-in WordPress populaire qui a été conçu par des développeurs d’Automattic, la société qui propose WordPress. Il a été téléchargé et utilisé sur plus d’un million de sites Web. Ce n’est pas seulement un problème pour les propriétaires de sites Web, mais aussi pour les visiteurs du Web qui pourraient facilement voir cette faille exploitée et infecter leurs ordinateurs avec un ransomware ou un malware. Les failles de ce genre soulignent l’importance d’utiliser un logiciel de filtrage Web qui bloque les redirections vers des sites Web malveillants.

Alors que de nombreuses vulnérabilités de plug-ins WordPress nécessitent un niveau de compétence substantiel pour être exploitées, celle du plug-in jetpack ne nécessite que très peu de compétences. Heureusement, Jetpack n’a découvert aucun élément de programme actif permettant à un individu ou à un malwares d’exploiter une faille de sécurité informatique. Cependant, maintenant que la vulnérabilité a été annoncée, et que les détails sur la manière de l’exploiter sont fournis en ligne, ce n’est qu’une question de temps avant que les pirates et les acteurs malveillants en profitent.

Le défaut ne peut être exploité que si le module Shortcode Embeds Jetpack est activé, bien qu’il soit fortement conseillé à tous les utilisateurs du plug-in d’effectuer une mise à jour dès que possible. Jetpack a travaillé avec WordPress pour que la mise à jour soit diffusée via le système de mise à jour de base de WordPress. Si vous avez la version 4.0.3 installée, vous êtes déjà probablement protégé.

Jetpack signale que, même si le défaut a déjà été exploité, la mise à jour vers la dernière version du logiciel supprimera tous les kits d’exploitations déjà présents sur les sites web WordPress.

Une campagne massive d’empoisonnement par SEO des midterms a été identifiée

Les midterms (élections de mi-parcours) des États-Unis ont attiré une attention considérable. Il n’est donc pas surprenant que les cybercriminels profitent de cet évènement en menant une campagne d’empoisonnement SEO des élections à moyen terme. C’était une histoire similaire à l’approche des élections présidentielles de 2016 et de la Coupe du monde. Chaque fois qu’il y a un événement majeur digne d’intérêt, il y a toujours des escrocs prêts à en profiter.

Des milliers de pages Web sur le thème des élections de mi-mandat ont vu le jour et ont été indexées par les moteurs de recherche. Certaines d’entre elles sont à fort trafic et sont très bien placées dans les résultats organiques pour les phrases de mots clés des élections de mi-mandat.

L’objectif de la campagne n’est pas d’influencer les résultats des élections de mi-mandat, mais de profiter de l’intérêt public et du grand nombre de recherches liées aux élections, puis de détourner le trafic vers des sites web malveillants.

Qu’est-ce que l’empoisonnement par SEO ?

La création de pages Web malveillantes et leur classement dans les résultats organiques des moteurs de recherche s’appelle l’empoisonnement des moteurs de recherche.

Les techniques d’optimisation pour les moteurs de recherche (SEO) sont utilisées pour promouvoir les pages Web et convaincre les algorithmes des moteurs de recherche que les pages sont dignes d’intérêt et pertinentes pour des termes de recherche spécifiques. Les pratiques suspectes de SEO telles que l’occultation, le remplissage de mot-clé, et le backlinking sont utilisées pour tromper les spiders des moteurs de recherche en évaluant favorablement les pages Web.

Le contenu des pages apparaît extrêmement pertinent pour les robots des moteurs de recherche qui explorent Internet et qui indexent les pages. Cependant, ces dernières n’ont pas toujours le même contenu.

Les spiders et les robots voient un type de contenu, tandis que les visiteurs humains se verront afficher quelque chose de complètement différent. Les escrocs sont ainsi capables de différencier les visiteurs humains et les bots via différents en-têtes HTTP dans les requêtes Web.

Les visiteurs réels voient alors un contenu différent ou sont redirigés vers des sites Web malveillants.

Campagne d’empoisonnement par SEO des midterms ciblant plus de 15 000 mots-clés

La campagne d’empoisonnement SEO des élections de mi-mandat a été suivie par Zscaler qui a noté que les arnaqueurs ont réussi à obtenir plusieurs pages malveillantes dans les résultats de la première page pour les phrases à fort trafic comme « élections de mi-mandat ».

Cependant, ce n’est que la partie visible de l’iceberg. Les arnaqueurs cibleraient en fait plus de 15 000 mots-clés électoraux de mi-mandat différents et utiliseraient plus de 10 000 sites Web compromis au cours de la campagne. Chaque jour, de plus en plus de sites ont été compromis et utilisés dans le cadre de cette campagne.

Lorsqu’un visiteur arrive sur l’une de ces pages Web à partir d’un moteur de recherche, il est redirigé vers l’une des nombreuses pages Web différentes. Les redirections multiples sont souvent utilisées avant que le visiteur n’arrive finalement à une page d’atterrissage particulière. Ces pages d’accueil comprennent des formulaires de phishing pour obtenir des informations sensibles ; des kits d’exploitation de l’hôte qui téléchargent silencieusement des malwares.

Elles peuvent également être utilisées pour des escroqueries de support technique et inclure diverses ruses pour tromper les visiteurs en installant des logiciels publicitaires, spywares, mineurs de cryptocurrences, ransomwares ou extensions malveillantes de navigateur.

En plus des sites d’escroquerie, la campagne permettait aux escrocs de générer du trafic vers des sites politiques, religieux et pour adultes.

Cette campagne d’empoisonnement SEO des élections de mi-parcours représente une menace importante pour tous les utilisateurs d’Internet, mais en particulier les entreprises qui ne contrôlent pas le contenu qui peut être consulté par leurs employés. Des cas similaires peuvent facilement entraîner le vol de justificatifs d’identité ou des infections par des malwares et ransomwares qui peuvent tous s’avérer incroyablement coûteux à résoudre.

Une solution facile à mettre en œuvre est un filtre Web tel que WebTitan. Ce dernier peut être déployé en quelques minutes et utilisé pour contrôler soigneusement le contenu auquel les employés peuvent accéder.

Les sites Web figurant sur la liste noire seront automatiquement bloqués ; les téléchargements de logiciels malveillants empêchés et les redirections malveillantes vers des sites Web de phishing et des kits d’exploitation seront stoppés avant que le mal soit fait.

Pour plus d’informations sur les avantages du filtrage Web et les détails de WebTitan, contactez l’équipe TitanHQ dès aujourd’hui.