- Les notifications push sont désormais utilisées comme systèmes de diffusion de logiciels malveillants, et les utilisateurs s'y abonnent sans le savoir.
- Les faux messages CAPTCHA sont désormais la porte d'entrée vers des détournements de navigateur persistants et des attaques de phishing.
- Les sites WordPress détournent discrètement les utilisateurs via des commandes DNS invisibles et des charges utiles JavaScript partagées.
Des enquêtes récentes ont révélé l'existence d'une alliance inquiétante entre des pirates informatiques spécialisés dans WordPress et des entreprises commerciales spécialisées dans les technologies publicitaires, qui ont mis en place une vaste infrastructure permettant de diffuser des logiciels malveillants à l'échelle mondiale.
Les recherches menées par Infoblox Threat Intel ont révélé que VexTrio, un système de distribution de trafic (TDS) chargé de rediriger les internautes à travers plusieurs couches de fausses publicités, de redirections trompeuses et de notifications push frauduleuses, est au cœur de cette opération.
Le rapport affirme que plusieurs entreprises commerciales, dont Los Pollos, Partners House et RichAds, sont impliquées dans ce réseau, servant à la fois d'intermédiaires et de facilitateurs.
Les vulnérabilités de WordPress ont servi de point d'entrée
Infoblox a initialement lié Los Pollos à VexTrio lorsque le premier a été impliqué dans des campagnes de désinformation russes.
En réponse, Los Pollos a déclaré qu'il mettrait fin à son modèle de « monétisation des liens push ».
Malgré cela, l'activité malveillante sous-jacente s'est poursuivie, les attaquants passant à un nouveau TDS connu sous le nom de Help, qui a finalement été relié à VexTrio.
Les vulnérabilités de WordPress ont servi de point d'entrée à de multiples campagnes de logiciels malveillants, les pirates ayant compromis des milliers de sites web en y intégrant des scripts de redirection malveillants. Ces scripts s'appuyaient sur des enregistrements DNS TXT comme mécanisme de commande et de contrôle, déterminant où envoyer les visiteurs du site web.
L'analyse de plus de 4,5 millions de réponses DNS entre août et décembre 2024 a révélé que même si différentes souches de logiciels malveillants semblaient distinctes, elles partageaient une infrastructure, un hébergement et des modèles de comportement qui conduisaient tous à VexTrio ou à ses proxys, notamment Help TDS et Disposable TDS.
Le JavaScript utilisé sur ces plateformes présentait les mêmes fonctions, désactivant les contrôles de navigation du navigateur, forçant les redirections et attirant les utilisateurs avec de fausses loteries.
Il est intéressant de noter que ces TDS sont intégrés à des plateformes publicitaires commerciales qui se présentent comme des réseaux d'affiliation légitimes.
« Ces entreprises entretenaient des relations exclusives avec des « éditeurs affiliés », en l'occurrence les pirates informatiques, et connaissaient leur identité », ont noté les chercheurs.
Les notifications push sont apparues comme un vecteur de menace particulièrement puissant. Les utilisateurs sont amenés à activer les notifications de leur navigateur à l'aide de faux messages CAPTCHA.
Les pirates envoient ensuite des liens de phishing ou de logiciels malveillants après l'inscription de l'utilisateur, contournant les paramètres du pare-feu et même les meilleurs programmes antivirus.
Certaines campagnes acheminent ces messages via des services fiables tels que Google Firebase, ce qui rend leur détection beaucoup plus difficile.
Le chevauchement entre les plateformes adtech, notamment BroPush, RichAds et Partners House, complique encore davantage l'attribution.
Des systèmes DNS mal configurés et des scripts réutilisés suggèrent l'existence d'un backend commun, voire d'un environnement de développement partagé.
Pour faire face à ce risque, les utilisateurs doivent éviter d'activer les alertes suspectes de leur navigateur, utiliser des outils offrant un accès réseau zéro confiance (ZTNA) et être prudents lorsqu'ils utilisent des invites CAPTCHA.
En mettant à jour WordPress et en surveillant les anomalies DNS, les administrateurs de sites peuvent réduire le risque de compromission.
Les entreprises adtech pourraient toutefois disposer du levier et de la clé nécessaires pour mettre fin à ces opérations si elles décidaient d'agir.
Vous pourriez également aimer
