Un réseau web de distribution de malwares — qui redirigeait environ 2 millions de visiteurs par jour vers des sites Web compromis hébergeant des kits d’exploitation — a été perturbé, paralysant ainsi les opérations de distribution de malwares.
Le réseau web de distribution de malwares — connu sous le nom d’EITest — utilisait des sites Web compromis pour rediriger les visiteurs vers des sites où des kits d’exploitation étaient utilisés pour télécharger des malwares et des ransomwares. Il permettait également aux pirates de rediriger les utilisateurs vers des sites de phishing et de lancer des escroqueries du support technique.
En effet, les pirates ont pu convaincre les visiteurs d’un site compromis de payer pour de faux logiciels afin de supprimer les infections par des malwares qui n’existaient même pas.
Supprimer les redirections des sites Web compromis est une tâche de grande ampleur. Les efforts d’assainissement de ces sites se poursuivent et les CERT (Computer Emergency Response Team) nationaux sont invités à fournir leur assistance.
Le réseau web de distribution de malwares a été totalement détruit et le trafic est maintenant redirigé vers un domaine sûr. Les chercheurs de Proofpoint ont pu s’emparer d’un domaine clé qui générait des domaines C&C, bloquant les redirections et les redirigeant vers quatre nouveaux domaines EITest qui pointent vers un gouffre abuse.ch.
Le gouffre n’est opérationnel que depuis un mois. Il a été activé le 15 mars dernier, mais il a déjà permis de protéger des dizaines, voire des centaines de millions de visiteurs du site. Rien qu’au cours des trois premières semaines, 44 millions de visiteurs ont été redirigés vers le gouffre à partir d’environ 52 000 sites et serveurs compromis.
La majorité des sites Web compromis utilisaient WordPress. Du code malveillant avait été injecté à cause des failles du CMS et des plug-ins ont été installés sur les sites. Les vulnérabilités de Joomla, Drupal et PrestaShop avaient également été exploitées pour installer le code malveillant.
Le réseau de distribution de malwares sur le Web est opérationnel depuis au moins 2011, mais les attaques qui y sont liées ont considérablement augmenté en 2014. Bien que des efforts aient déjà été menés pour perturber le réseau de distribution des malwares, la plupart d’entre eux ont échoué, tandis que d’autres n’ont connu qu’un succès temporaire.
Le code malveillant injecté dans les serveurs et les sites Web redirigeait principalement les visiteurs vers un kit d’exploitation appelé Glazunov et, dans une moindre mesure, vers un kit d’exploitation appelé Angler. Ces kits d’exploitation recherchent de multiples vulnérabilités dans les logiciels pour pouvoir télécharger des ransomwares et des malwares.
On pense que les acteurs de la menace à l’origine de l’EITest ont réagi et tenté de prendre le contrôle du gouffre, mais pour l’instant, ces efforts ont été contrecarrés.
Comment améliorer la sécurité et bloquer les attaques de malwares des réseaux web de distribution?
Le fait qu’une opération d’une telle ampleur ait été perturbée est certainement une bonne nouvelle. Mais cela souligne également l’importance de la menace d’attaques sur le Web. Les spams sont peut-être devenus la principale méthode de distribution de malwares et de ransomwares, mais les organisations ne devraient pas ignorer la menace que représentent les attaques sur le Web.
Ces attaques peuvent se produire lorsque les employés naviguent simplement sur le Web et visitent des sites internet parfaitement légitimes. Malheureusement, la sécurité laxiste des propriétaires de sites Web peut conduire au compromis de leurs sites Web. L’absence de mise à jour de WordPress ; d’autres systèmes et de plug-ins de gestion de contenu ; et les mauvaises pratiques en matière de mots de passe font des attaques sur les sites Web un processus rapide et facile.
Pour réduire le risque d’attaques sur le Web, l’une des meilleures solutions à mettre en œuvre est un filtre Web. Sans cela, les employés seront autorisés à visiter tout site Web, y compris ceux connus pour héberger des malwares ou pouvant être utilisés à des fins malveillantes.
En mettant en place un filtre Web, les redirections vers des sites Web malveillants seront bloquées, tout comme les téléchargements de fichiers malveillants. Par ailleurs, les attaques de phishing sur le Web seront contrées.
TitanHQ est le premier fournisseur de solutions de filtrage Web dans le cloud pour les PME les grandes entreprises. WebTitan Cloud et WebTitan Cloud for WiFi leur permettent de contrôler avec soin le contenu du site Web auquel peuvent accéder leurs employés, les utilisateurs de leur réseau invité et les utilisateurs de leur Wi-Fi.
La solution de TitanHQ dispose de puissantes protections antivirus. Elle utilise des listes noires de sites Web malveillants connus et intègre l’inspection SSL/HTTPS pour fournir une protection contre le trafic chiffré malveillant. La solution permet également aux PME et aux grandes entreprises d’appliquer leurs politiques d’utilisation d’Internet acceptables ; et aux écoles d’appliquer Safe Search et YouTube for Schools.
Pour plus d’informations sur la façon dont WebTitan peut protéger vos employés et étudiants et prévenir les infections de malwares sur votre réseau, contactez TitanHQ dès aujourd’hui.