Les sites qui proposent des contenus pornographiques génèrent un tel trafic que les personnes malintentionnées s’y intéressent forcément. Les visiteurs savent à quoi ils s’exposent. Il est difficile de quantifier le trafic généré par la totalité des sites de ce type, mais certains s’aventurent à affirmer qu’ils généreraient environ 30% du trafic Internet mondial. Mais cette fois-ci, c’est une « référence » du secteur qui est visée : PornHub.
Le problème a été mis au jour par Proofpoint, qui le détaille dans un long article. Baptisé Kovter, le malware serait diffusé depuis au moins un an sur le site PornHub. Des millions d’utilisateurs ont donc potentiellement été ciblés notamment aux Etats-Unis, au Canada, au Royaume-Uni et en Australie. Le principe : il se diffuse via un JavaScript et ouvre une page Web qui simule le comportement diu navigateur de l’utilisateur. Sur Chrome et Firefox, il demande une mise à jour critique, sur Microsoft Edge il simule une mise à jour d’Adobe Flash Player.
Bien entendu si l’utilisateur tombe dans le panneau, c’est le début des ennuis, même si Proofpoint n’explique pas exactement quelles sont les actions menées par le malware ; l’IP doit être « checkée » et le JavaScript ne fonctionne donc pas dans une sandbox. Il installerait d’autres logiciels malveillants, dont un ransomware, et serait aussi utilisé pour cliquer automatiquement sur des publicités en ligne pour faire gagner de l’argent à ses auteurs. Ces derniers sont connus sous le nom d’un groupe, KovCoreG.
Lors de son installation, Kovter génère aléatoirement une extension (ici .bbf5590fd).
Ce n’est peut-être pas le plus grave : « Kovter est connu pour son mécanisme unique de persistance », notent les chercheurs de Proofpoint, s’appuyant sur des recherches de Microsoft. Car Kovter n’est pas nouveau : en 2016, l’éditeur de Redmond l’évoquait déjà et expliquait justement la difficulté à le détecter et à le supprimer totalement d’un registre.