Les experts de Cisco expliquent avoir repéré une campagne de malvertising ou malware advertising, une méthode permettant à un hacker de s'appuyer sur de la publicité pour déployer un malware. Ce réseau, baptisé « Kyle and Stan », repose sur un ensemble de plusieurs centaines de sous-domaines.
Concrètement, l'internaute se rendant sur un site affichant l'une de ses publicités vérolées sera automatiquement redirigé vers une autre page en fonction de la machine utilisée. Les utilisateurs de Windows et d'OS X obtiendront des pages différentes. Celles-ci commenceront le téléchargement d'un fichier vérolé. Ce dernier se présente sous la forme d'un véritable logiciel, tel qu'un lecteur audio, accompagné bien sûr d'un malware.
Le cabinet Talos Security Research observe « Kyle and Stan » depuis le 5 mai dernier et celui-ci se serait montré particulièrement actif sur les deux dernières semaines de juin. Parmi les sites importants ayant été affectés, notons ads.yahoo.com, amazon.com, youtube.com et winrar.com
Ce réseau est constitué de plus de 700 sous-domaines automatisés sous la forme
kyle.mxp(1-4 chiffres).com ou stan.mxp(1-4 chiffres).com. Chaque malware déployé dispose d'une empreinte unique ce qui complique alors les blocages automatiques mis en place par les logiciels antivirus.
