Les cybercriminels ont compromis les serveurs utilisés pour diffuser des publicités sur un site Web populaire de conversion YouTube en MP3 pour aider à fournir le kit d'exploitation GreenFlash et le rançongiciel Seon. La publicité malveillante est une technique populaire parmi les pirates et les escrocs, car elle leur permet d'atteindre un public beaucoup plus large en insérant du code ou des liens malveillants dans les publicités. Lorsqu'un visiteur d'un site hébergeant des publicités malveillantes clique sur l'une d'entre elles, il est soit dirigé vers un site Web frauduleux, soit son système est infecté par une charge utile malveillante. Ce qui rend la publicité malveillante si efficace, c'est le fait que des domaines légitimes peuvent héberger des publicités malveillantes à votre insu, faisant de vous un distributeur de logiciels malveillants sans même vous en rendre compte. Récemment, des cybercriminels ont utilisé cette technique pour transmettre l'opkit GreenFlash Sundown dans le cadre d'une campagne de publicité massive.
Kit d'opération GreenFlash Sundown
Le blogueur Jerome Segura, chercheur chez Malwarebytes, a expliqué dans un article de blog comment l'opkit GreenFlash Sundown s'est propagé au-delà de l'Asie : "L'activité d'Operativekit est relativement calme depuis un certain temps, avec une campagne publicitaire malveillante qui nous rappelle que le choc au volant est toujours un Cependant, ces derniers jours, nous avons constaté une augmentation de notre télémétrie pour ce qui semblait être un nouveau kit opérationnel. En y regardant de plus près, nous avons réalisé qu'il s'agissait en réalité d'un GreenFlash Sundown EK difficile à atteindre. Les acteurs de la menace derrière ce système a un mode de fonctionnement unique qui compromet les serveurs publicitaires gérés par les propriétaires de sites Web. Essentiellement, ils peuvent empoisonner les publicités diffusées par l'éditeur concerné via ce système. type unique de publicité malveillante." En infectant les serveurs utilisés pour diffuser des publicités sur divers sites, y compris le populaire site de conversion vidéo en ligne vers MP3 Converter Online Video Creator, qui compte plus de 200 millions d'utilisateurs mensuels, les cybercriminels ont pu utiliser des domaines légitimes pour faire leur travail. Après avoir cliqué sur une annonce sur l'un des sites concernés, les visiteurs sont dirigés vers le kit opératoire après avoir vérifié leur système pour s'assurer qu'ils ne se trouvent pas dans une machine virtuelle. Le kit d'exploitation infecte ensuite votre système avec le rançongiciel Seon qui verrouille vos fichiers. Cependant, avec le ransomware, le kit d'exploitation infecte également votre système avec une crypto-monnaie et un Pony mineur qui est utilisé pour voler vos données. Jusqu'à présent, le kit opérationnel infectait principalement les utilisateurs en Corée du Sud, mais les cybercriminels à l'origine de cette nouvelle campagne de publicité malveillante cherchent à étendre leur portée à de nouvelles cibles aux États-Unis et en Europe. via ZDNet