Tubrosa, un malware qui exploite les publicités de Youtube

tubrosa

Les chercheurs de Symantec ont découvert une nouvelle campagne de Malware qui gagne de l’argent en infectant la machine d’un utilisateur et en lançant des vidéos Youtube monétisés. Surnommé Tubrosa, ce Malware se compose de 2 modules, le premier est transmis via des mails de phishing et le second est téléchargé par le mail en question. Tubrosa exploite principalement le programme de publicités sur Youtube. En bref, le Malware infecte la machine de la victime qui va lancer des vidéos en arrière-plan et le revenu des publicités va directement aux pirates.

Un malware qui peut lancer des vidéos Youtube en arrière-plan et télécharger Adobe Flash

Tubrosa intègre une centaine de liens youtube qui est hébergé sur un serveur C&C et les ouvre en arrière-plan sur la machine infectée. Et le malware utilise certaines techniques pour éviter d’être détecté. Ainsi, il peut baisser le volume du son lorsqu’il lance la vidéo et si la machine infecté ne possède pas Adobe Flash, alors il est capable de le télécharger et l’installer automatiquement.

Les pirates ont pu gagner des centaines de milliers de dollars

Les chercheurs de Symantec estiment que les pirates ont pu gagner des centaines de milliers de dollars avec Tubrosa et ils estiment qu’ils ont lancés des campagnes similaires dans le même temps. On peut détecter l’infection en surveillant l’état de la machine. Le programme de publicité de Youtube utilise un processus de vérification qui permet de vérifier le bon état de la machine. Mais pour contourner cette surveillance, Tubrosa change dynamiquement le réferrent et l’User Agent en utilisant 2 scripts PHP. Cela permet au Malware de prétendre qu’il est une nouvelle connexion aux serveurs de Google. Ainsi, Youtube va penser que c’est un nouvel utilisateur qui regarde la vidéo alors que c’est la même machine.

Selon toujours Symantec, cette campagne d’infection par Tubrosa a commencée à aout 2014 et elle est toujours active à l’heure actuelle. Tubrosa infecte principalement les machines en Corée du sud, en Inde, au Mexique et aux Etats-Unis.

Source

Advertisements

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s