Malvertising

📅 Source : SANS Internet Storm Center (diary de Brad Duncan), publié le 2026-05-01. 🎯 Contexte : Dans un contexte de croissance de l’usage des appareils macOS (MacBooks, Mac Minis), des campagnes de malvertising ciblent ces hôtes. Une annonce malveillante observée le 2026-04-30 dans les résultats de recherche Google usurpe l’identité de Homebrew, le gestionnaire de paquets tiers pour macOS. 🔗 Vecteur d’infection : La publicité redirige vers une fausse page Homebrew hébergée sur sites.google.com/view/brewpage. Cette page présente un script à copier-coller que la victime est invitée à exécuter dans un terminal macOS. ...

🔍 Contexte Publié le 31 mars 2026 par Infoblox Threat Intel et Confiant, cet article constitue la partie 3 d’une série sur l’abus du Keitaro Tracker, un système de suivi publicitaire auto-hébergé massivement détourné comme Traffic Distribution System (TDS) et outil de cloaking par des acteurs malveillants. 📊 Sources de données et tendances L’étude couvre la période du 1er octobre 2025 au 31 janvier 2026 et combine : Télémétrie DNS passive (pDNS) d’Infoblox : ~226 000 requêtes DNS sur ~13 500 domaines liés à Keitaro Plus de 8 000 nouvelles inscriptions de domaines attribuées à des acteurs malveillants, concentrées chez 5 registrars : Dynadot, Namecheap, Public Domain Registry, Global Domain Group, Sav 275 millions d’impressions publicitaires analysées via Confiant, révélant ~2 000 domaines hébergeant des instances Keitaro dans des campagnes de malvertising 120+ campagnes spam distinctes, dont 96% liées à des crypto wallet-drainers (AURA, SOL, Phantom, Jupiter) 📅 Événements notables 7 octobre 2025 : Un acteur ciblant des russophones enregistre des centaines de domaines .com via une promotion Dynadot à 6,88$ 26 novembre 2025 (Black Friday) : Le même acteur achète en masse des domaines .icu, .click, .digital 30 octobre – 1er novembre 2025 : Pic massif de requêtes DNS attribué à un acteur utilisant Keitaro pour rediriger les utilisateurs ciblés (Android/Allemagne, Windows/USA/Suisse) vers des sites de jeux d’argent en ligne ⚙️ Fonctionnalités Keitaro exploitées Routing via Campaigns/Flows : filtrage par géolocalisation IP, OS, navigateur, type d’appareil, référent, paramètres URI Cloaking : intégration avec des kits tiers comme IMKLO, HideClick, Adspect Cloaker (IA, contournement Google/TikTok/Meta) KClient JS : substitution de contenu côté client sans redirection visible Antibot : listes d’IP bloquées enrichies par des données tierces partagées sur GitHub et forums 🍪 Collisions de cookies Les instances Keitaro posent des cookies de tracking (_token, _subid, cookie alphanumérique 5 caractères pour v<11). Ces valeurs étaient utilisées comme signatures d’acteurs, mais l’analyse a révélé des collisions : ...

🔍 Contexte Publié le 26 mars 2026 par Infoblox Threat Intel en collaboration avec Confiant, cet article constitue le second volet d’une étude de quatre mois portant sur l’abus du tracker publicitaire commercial Keitaro par des acteurs malveillants. Confiant surveille près de 90 milliards d’impressions publicitaires par mois. 🎯 Keitaro comme infrastructure criminelle Keitaro est un outil adtech commercial (tracker, TDS et cloaker en un seul produit) massivement détourné par des cybercriminels. Il leur permet d’externaliser la distribution, le ciblage et le routage des victimes sans construire leur propre infrastructure. Plus de 20% des acteurs malveillants suivis par Confiant ont utilisé Keitaro sur la période, certains générant des dizaines de millions d’impressions. ...

🔍 Contexte Source : Kaspersky Blog (kaspersky.fr), publié le 29 mars 2026. Cet article présente les résultats d’une investigation approfondie menée par Kaspersky sur plusieurs campagnes malveillantes exploitant la popularité des outils d’intelligence artificielle. 🎯 Description de l’attaque Des acteurs malveillants diffusent des infostealers en se faisant passer pour des outils d’IA populaires via des annonces Google Ads sponsorisées. Les leurres utilisés incluent : AI Doubao (application chinoise populaire) OpenClaw (assistant IA viral) Claude Code (assistant de programmation d’Anthropic) Lorsqu’un utilisateur clique sur l’annonce malveillante, il est redirigé vers un faux site de documentation hébergé sur Squarespace (plateforme légitime), ce qui permet de contourner les filtres anti-phishing. ...

Source et contexte: Bitdefender Labs (blog Bitdefender) publie une analyse couvrant la période 9 février–5 mars 2026, menée par Alecsandru Daj et Alexandra Dinulica, qui recense 310 campagnes de malvertising diffusées via des publicités payantes sur Meta. L’étude met en évidence une infrastructure mondiale coordonnée de fraude à l’investissement, active et adaptable, s’étendant à au moins 25 pays et 6 continents, avec plus de 26 000 occurrences publicitaires localisées en 15+ langues. ...

Selon Malwarebytes, des acteurs malveillants mènent une campagne « InstallFix » en clonant des pages d’installation de Claude Code et en détournant les commandes d’installation en un clic pour livrer un infostealer. Les attaquants reproduisent à l’identique des pages de documentation/téléchargement (logo, sidebar, texte, bouton « copier ») et n’en modifient que la commande d’installation afin qu’elle pointe vers leur domaine. Cette approche, similaire aux attaques ClickFix, abuse de l’habitude d’exécuter des « one‑liners » (ex. curl | bash) qui s’exécutent avec les permissions de l’utilisateur, parfois administrateur. Le payload principal observé est l’infostealer Amatera, ciblant mots de passe enregistrés, cookies, jetons de session, données d’autoremplissage et informations système, avec des rapports signalant aussi un intérêt pour des portefeuilles crypto et comptes à forte valeur. ...

Selon Deception.Pro, des chercheurs ont observé durant une opération de 12 jours une chaîne d’intrusion à haute sévérité initiée par du malvertising et un faux CAPTCHA de type ClickFix. • Le leurre incitait la victime à coller une commande obfusquée dans la boîte de dialogue Windows Run, déclenchant une exécution emboîtée de cmd.exe. L’attaque testait la connectivité sortante via finger.exe (TCP/79), puis récupérait depuis l’infrastructure attaquante un fichier se faisant passer pour un “PDF”, qui s’est avéré être une archive compressée extraite localement avec les outils Windows. ...

Selon Security Blog (Karsten Hahn et John Dador), cette première partie d’une série en deux volets analyse l’infection initiale observée depuis novembre 2025 après un signalement Reddit, reliant des téléchargements sur le site pirate PiviGames à l’exécution du loader HijackLoader; la seconde partie couvrira le payload ACRStealer. 🎮 Contexte et vecteur: PiviGames, connu pour proposer des liens de jeux PC piratés, charge des scripts Cloudflare pour paraître légitime puis un JavaScript “pgedshop.js” qui orchestre des redirections conditionnées par cookies. La première visite envoie vers hxxps://adbuho[.]shop/HIx0J, puis vers un domaine aléatoire en .pro et enfin une URL MediaFire. L’utilisateur récupère “Full Version Setup 6419 Open.zip” (mot de passe “6419”), qui contient des ressources et un “Setup.exe”. Le lanceur est légitime mais déclenche une infection via DLL sideloading en chargeant Conduit.Broker.dll (HijackLoader). ...

Selon la publication de la société Malwarebytes, une campagne de malvertising utilise des publicités Facebook imitant Microsoft pour rediriger vers des clones quasi parfaits de la page de téléchargement Windows 11, afin de distribuer un voleur d’informations. • Le leurre repose sur des annonces Facebook professionnelles, brandées Microsoft, renvoyant vers des domaines lookalike en « 25H2 » (mimant la nomenclature des versions Windows). Les pages contrefaites copient logo, mise en page et mentions légales, la différence notable étant l’URL (ex. ms-25h2-download[.]pro). ➜ En cliquant sur « Download now », la victime récupère un exécutable trompeur au lieu d’une mise à jour Windows. ...

Selon Netskope Threat Labs, une campagne d’arnaque au support technique a émergé le 2 février (vers 16:00 UTC), exploitant des annonces sponsorisées dans Bing et redirigeant vers des pages frauduleuses hébergées dans Azure Blob Storage. Les victimes—toutes situées aux États‑Unis—proviennent de 48 organisations couvrant les secteurs de la santé, de la fabrication et de la technologie. 🔎 Principaux constats Vecteur publicitaire (malvertising) : des annonces Bing pour des recherches anodines (ex. “amazon”) mènent vers un domaine intermédiaire, puis vers les pages de scam. Redirection : clic sur l’annonce → highswit[.]space (WordPress vide) → conteneurs Azure Blob hébergeant les faux sites de support Microsoft. Impact : 48 organisations affectées en peu de temps, réparties sur plusieurs industries aux États‑Unis. Détection : Netskope classe ces pages comme ET PHISHING Microsoft Support Phish Landing Page. Désactivation : l’ensemble des domaines Azure Blob signalés à Microsoft ne servaient plus de contenu malveillant à la publication du billet. ☁️ Infrastructure et schéma d’URL ...