Pornhub a diffusé un malware à son insu

Pornhub a été la cible d’une nouvelle attaque basée sur la diffusion d’un malware du nom de Kovter. L’outil aurait infecté des centaines d’ordinateurs à travers le monde.

Pornhub n’est pas un site tout à fait comme les autres. Depuis son lancement en septembre 2007, il a en effet su fédérer une importante communauté autour de son service et il reçoit ainsi chaque semaine la visite de plusieurs centaines de millions d’utilisateurs.

Pornhub Neutralité

Mieux, il se classe même à la trente-septième place mondiale du classement Alexa et il talonne donc de près les géants du secteur, des géants comme Google ou même Facebook.

Pornhub, souvent visé par les hackers

Pornhub est donc un excellent moyen de propager des malwares et c’est sans doute ce qui a poussé les responsables de cette nouvelle attaque à viser le célèbre service.

En analysant les réseaux publicitaires utilisés par le site, Proofpoint est en effet tombé sur une étrange campagne diffusée sur un network secondaire, une campagne visant exclusivement les visiteurs de la plateforme.

Intrigués, les chercheurs ont poussé plus loin leurs investigations et ils ont alors réalisé que cette campagne s’accompagner d’un script forçant l’ouverture d’une fausse page ressemblant comme deux gouttes d’eau à Chrome ou Firefox, une page exigeant l’installation d’une mise à jour de sécurité critique.

Bien sûr, son contenu dépendait du navigateur utilisé par l’internaute et les messages n’étaient ainsi pas les mêmes d’un butineur à l’autre.

En poursuivant leurs analyses, les experts ont découvert que le patch en question était en réalité un malware du nom de Kovter.

Un malware diffusé par le biais d’une campagne publicitaire

Extrêmement élaboré, ce dernier regroupe plusieurs modules distincts et il est notamment capable d’installer à son tour de nouveaux programmes malveillants, des programmes capables de voler les informations personnelles de l’utilisateur ou encore d’installer des ransomwares en toute discrétion.

Bien sûr, il suffit d’observer attentivement la page affichée pour se rendre compte que cette dernière n’a absolument rien à voir avec Google, Mozilla ou n’importe quel autre éditeur du secteur. Le lien associé est en effet associé à des sous-domaines secondaires.

Toutefois, dans la précipitation, de nombreuses personnes seraient tombées dans le panneau.

Pour ne pas arranger les choses, les diffuseurs de la campagne ont pris soin de couvrir leurs traces et ils ont ainsi fait en sorte de cibler uniquement certains marchés pour ne pas trop attirer l’attention. La campagne était ainsi diffusée sur le territoire américain, canadien, britannique et australien.

Proofpoint a immédiatement mis au courant Pornhub et Traffic Junkie, le réseau publicitaire responsable de la diffusion de la campagne.

Cette dernière a été identifiée et coupée dans la foulée, pour réapparaître quelques heures plus tard sur certains sites associés à Yahoo.