Evitez les sites pornos si vous êtes allergiques aux ransomwares

xHamster et une dizaine de sites pornographiques sont actuellement les cibles d’une campagne de malvertising. Elle vise les internautes d’une cinquantaine de pays différents et elle se fait passer pour un ransomware. Les utilisateurs les moins expérimentés risquent de se faire avoir.

La campagne a été repérée pour la première fois cet été et elle est toujours en cours de diffusion à l’heure actuelle. La régie publicitaire a été prévenue, bien sûr, mais elle ne l’a toujours pas coupée.

Campagne Malvertising Porno

Une campagne de malvertising tourne actuellement sur plusieurs sites pornographiques. La prudence est de mise.

Pour le moment, on ne sait pas combien de sites sont concernés mais xHamster fait visiblement partie du lot. C’est évidemment très problématique car le site attire des millions d’internautes chaque semaine.

xHamster et plusieurs autres sites pornographiques sont concernés

Il est même dans le Top 100 des sites les plus populaires d’après le classement Alexa.

Bitdefender a rapidement ouvert une enquête et ses experts se sont rendus compte que cette fameuse campagne était diffusée dans une quarantaine de pays différents. La France fait partie du lot, de même pour l’Espagne, la Roumanie ou même les Etats-Unis.

Elle prend la forme d’un encart publicitaire vantant les mérites d’une application de rencontres sexuelles. Si l’internaute clique dessus, alors il sera redirigé vers une page prétendument mise en place par… la NSA.

Le pire reste à venir car cette fameuse page affiche l’IP de l’internaute ainsi que sa localisation, avec un long message menaçant. Il accuse l’utilisateur d’avoir visualisé ou stocké des contenus illégaux comme des vidéos pédopornographiques ou même des clips mettant en scène des viols. Tout un programme.

Un peu plus loin, il cite aussi plusieurs articles extraits du Code pénal de la République Française (pour les internautes localisés dans l’hexagone).

Pire, il indique en plus que le contenu du disque dur est en cours de chiffrement et que la session en cours est en train d’être enregistrée.

Bref, tout est fait pour faire peur à l’internaute.

Ne vous faites pas avoir, ce n’est pas vraiment un ransomware

Pour lui faire peur, et pour l’inciter à mettre la main au portefeuille. Oui, parce que la page en question lui propose aussi de rentrer dans le droit chemin en échange d’un petit billet de 100 €. Attention cependant, car il a très exactement 96 heures pour procéder au paiement.

Bah oui, ce serait beaucoup trop facile autrement.

Sur le papier, cette campagne ressemble pas mal à du ransomware mais ce n’en est pas vraiment car il est tout à fait possible de fermer la page en tuant le processus associé et donc en passant par le gestionnaire des tâches.

Notez pour finir que tous les navigateurs ne seraient pas  non plus logés à la même enseigne. Les créateurs de cette campagne visent surtout les personnes naviguant avec Internet Explorer.

Et donc l’internaute lambda.

Via

Mots-clés nsfysécuritéweb