28 novembre 2018 |

Plusieurs botnets interrompus suite à une opération anti-fraude

Le réseau de fraude publicitaire démantelé utilisait des botnets pour générer près de 30 millions de dollars de revenus publicitaires frauduleux.

Rueil-Malmaison, le 28 novembre 2018 – Internet a remporté une grande victoire, après le démantèlement par le FBI, d’une opération de cyber criminalité d’envergure, menée depuis plusieurs années. Les pirates utilisaient des botnets pour manipuler le trafic internet. En mobilisant 1,7 million d’adresses IP, ils avaient pu générer près de 30 millions de dollars en revenus publicitaires frauduleux. F-Secure a participé à l’opération de démantèlement en fournissant des informations sur les campagnes de malware et les botnets servant à l’opération.

Ce réseau de fraude publicitaire, surnommé « 3ve » dans un avis publié par US-CERT*, reposait sur deux botnets distincts, créés par le biais de deux malware, Kovter et Boaxxe, diffusés aux particuliers par le biais de spams et de téléchargements à la dérobée (drive-by). 3ve utilisait ces botnets pour rediriger le trafic internet vers des publicités qu’ils diffusaient. D’après les estimations, plus d’1,7 million d’adresses IP ont ainsi pu être simultanément manipulées.

Lors du démantèlement, décrit hier dans un communiqué de presse du ministère américain de la Justice**, le FBI a passé en revue 89 serveurs et saboté 31 domaines afin de perturber les botnets, et saisir les comptes bancaires liés au groupe. Huit personnes ont été identifiées comme étant impliquées.

F-Secure a assisté le FBI en mettant en évidence certaines parties des botnets et campagnes de malware liés à 3ve.

« 3ve émet un spam d’échec d’envoi de message. Il s’agit d’un vecteur d’attaque courant de nos jours. Les utilisateurs ouvrent une pièce jointe ou cliquent sur un lien et se retrouvent infectés par Kovter, Boaxxe, voire même les deux », explique Päivi Tynninen, Chercheuse chez F-Secure. « 3ve utilise aussi la publicité malveillante redirigeant les utilisateurs vers de fausses mises à jour logicielles pour les inciter à installer Kovter. Il s’agit d’une tactique d’ingénierie sociale assez populaire. »

3ve utilisait le botnet Boaxxe comme proxy pour les requêtes publicitaires frauduleuses envoyées depuis son propre centre de données, situé en Allemagne. Le botnet Kovter, réseau de PC infectés, utilisait un navigateur dissimulé aux utilisateurs, pour rediriger discrètement le trafic vers leurs annonces.

En manipulant le trafic internet, 3ve a convaincu les annonceurs que leurs publicités étaient vues par un nombre incalculable de personnes. Ce type de fraude reste souvent inaperçu mais il n’en est pas moins répandu. En 2016, un rapport de la Fédération mondiale des annonceurs prévoyait une augmentation des recettes publicitaires frauduleuses de 50 à 150 milliards de dollars par an, d’ici 2025.

« Il se peut que la fraude publicitaire n’apparaisse pas comme un problème urgent. Pourtant, elle coûte beaucoup d’argent aux entreprises et, en définitive, ces coûts se répercutent sur le consommateur », a déclaré Sean Sullivan, Security Advisor chez F-Secure. « Ce genre d’opérations de démantèlement est bénéfique aux entreprises, aux annonceurs, mais aussi aux utilisateurs. »

L’opération du FBI a permis de stopper 3ve. Toutefois, compte-tenu de la nature persistante des botnets actuels, il reste difficile d’affirmer avec certitude que 3ve a été définitivement démantelé. Sean Sullivan explique que, même si de nombreuses organisations ont contribué à l’opération, les particuliers doivent eux aussi agir, pour que 3ve ne puisse jamais renaître de ses cendres.

« La plupart des botnets actuels reposent sur des fonctionnements en arrière-plan sophistiqués. Ils sont extrêmement résistants aux tentatives de démantèlement. Les PC infectés peuvent être utilisés pour débuter une reconstitution du réseau. Il est donc essentiel que les internautes inspectent leur PC et suppriment les logiciels malveillants s’ils découvrent une infection », conclut-il.

*Source : https://www.us-cert.gov/ncas/alerts/TA18-331A

**Source : https://www.justice.gov/usao-edny/pr/two-international-cybercriminal-rings-dismantled-and-eight-defendants-indicted-causing

***Source : https://www.wfanet.org/app/uploads/2017/04/WFA_Compendium_Of_Ad_Fraud_Knowledge.pdf

Plus d’informations

Blog F-Secure : Les autorités mettent en garde contre 3ve, vaste opération de fraude publicitaire

A propos de F-Secure

30 ans d’expérience en cyber sécurité. Avec toujours le même moteur : l’innovation. L’entreprise finlandaise dispose aujourd’hui d’une expertise inégalée dans la lutte contre toutes les menaces, des infections de type ransomware aux cyber attaques avancées. Pour ce faire, F-Secure a élaboré une stratégie de défense sophistiquée, qui allie la puissance du machine learning et l’expertise humaine. Le nom de cette approche unique : Live Security. Les produits F-Secure sont proposés par plus de 200 opérateurs et des milliers de revendeurs. Ils défendent chaque jour des dizaines de milliers d’entreprises et des millions de particuliers.

Fondée en 1988, F-Secure est cotée sur le NASDAQ (code OMX Helsinki Ltd).
f-secure.com | twitter.com/fsecure | facebook.com/f-secure

Le Blog de F-Secure | Espace Presse F-Secure | Dossier de Presse

Contacts Médias

Guillaume Ortega
06 31 45 81 09
guillaume.ortega@f-secure.com

Derniers communiqués de presse

4 décembre 2018

F-Secure signe un partenariat avec Yourax

L’éditeur spécialisé en cyber sécurité F-Secure conclut un accord de partenariat avec Yourax, une société spécialisée dans la mise en place de solutions informatiques, notamment liée à la sécurisation, l’optimisation et la gestion des infrastructures systèmes et réseaux.

28 novembre 2018

Plusieurs botnets interrompus suite à une opération anti-fraude

Le réseau de fraude publicitaire démantelé utilisait des botnets pour générer près de 30 millions de dollars de revenus publicitaires frauduleux.

21 novembre 2018

F-Secure va plus loin dans sa solution RDR en y ajoutant une fonction d’escalade vers ses experts en cyber sécurité

F-Secure Rapid Detection and Response aide les entreprises à lutter contre les intrusions informatiques. Cette solution intuitive est aussi proactive : elle stoppe automatiquement les violations de données, en temps réel.

15 novembre 2018

Des chercheurs du Laboratoire MWR de F-Secure identifient des vulnérabilités 0-day sur les smartphones Xiaomi Mi6 et Samsung Galaxy S9

À l’occasion de la compétition Mobile Pwn2Own, l’équipe du Laboratoire MWR de F-Secure a démontré l’existence de vulnérabilités encore non-divulguées.

%d blogueurs aiment cette page :