Les attaquants ont injecté du code malveillant dans le site Dailymotion.com, un site populaire de partage de vidéos, et ils ont redirigé les visiteurs vers un espace Web qui leur disait sournoisement d’installer certains logiciels malveillants.
Le code malveillant est composé d’un iframe qui est apparu sur Dailymotion le 28 Juin, des chercheurs de fournisseur de sécurité Symantec l’ont annoncé jeudi sur leur blog. En effet, selon des découvertes de Symantec, des pirates ont réussi à compromettre la plateforme en redirigeant les visiteurs vers un site qui télécharge le kit d’exploit Sweet Orange sur leurs machines. « Ce kit d’exploit profite des vulnérabilités dans Java, Internet Explorer et Flash Player. Si les vulnérabilités ont été exploitées avec succès au cours de la campagne, des malwares PPC (Pay-Per-Click) chevaux de troie étaient alors téléchargés sur l’ordinateur de la victime », explique dans un billet blog Ankit Singh, chercheur pour le compte de Symantec.
Les failles que Sweet Orange a tenté d’exploiter sont : CVE-2013-2551, colmatée par Microsoft dans IE en mai 2013, CVE-2013-2460, colmatée par Oracle dans Java en juin 2013 et enfin CVE-2014-0515, colmatée par Adobe dans son Flash Player en avril. « Ce malware oblige l’ordinateur infecté à générer artificiellement un trafic PCP sur les annonces sur le web afin de générer des revenus pour les attaquants », a expliqué Singh.
La durée de l’attaque n’est pas bien déterminée. Cependant, les chercheurs de Symantec soutiennent que le code a été retiré du site il y a quelques jours. De plus, ils ne savent pas si cette attaque est le résultat d’un piratage du site lui-même ou d’une publicité malveillante servie par un réseau de publicité tiers. Cependant, la plateforme d’échanges vidéo étant répertoriée dans la liste des 100 sites les plus populaires classés par ordre de trafic selon la firme de statistiques Internet Alexa, le nombre d’utilisateurs affectés est potentiellement grand.
Par ailleurs, les chercheurs soutiennent que, pour la plupart (plus de 50 %), les utilisateurs affectés sont domiciliés aux USA et en Europe. Ce n’est pas la première fois que Dailymotion est utilisé pour distribuer des logiciels malveillants. En janvier, la firme de sécurité Invincea reportait qu’une annonce malveillante affichée sur le site avait essayé de tromper les utilisateurs en leur proposant d’installer un faux programme antivirus.
Ce n’est pas la première fois que Dailymotion.com a été utilisé pour distribuer des logiciels malveillants. En Janvier, la firme de sécurité Invincea avait signalé qu’une annonce malveillante affichée sur le site avait tenté de tromper les utilisateurs dans l’installation d’un programme de faux antivirus.