Pourquoi le trafic TDS malveillant ne cesse d'augmenter et que faire ?

Les activités malveillantes de TDS sont de plus en plus sophistiquées et de plus en plus difficiles à détecter

Les cybercriminels deviennent plus intelligents. Ils utilisent des systèmes de distribution du trafic (TDS) pour mélanger le trafic malveillant à l’activité web légitime. Ce qui était autrefois un simple outil de redirection est devenu un système extrêmement complexe que les équipes de sécurité ont du mal à suivre. Ces attaquants ne se contentent pas de rediriger les utilisateurs, ils créent des voies d’accès multicouches qui semblent normales en apparence, mais qui mènent directement à des logiciels malveillants et au vol de données.

Si les attaquants manipulent les réseaux TDS pour exploiter vos systèmes, les conséquences vont du vol de données aux pertes financières et à la perte de confiance. Le problème ? La plupart des outils de sécurité traditionnels ne sont pas conçus pour identifier ces chaînes de redirection sophistiquées. Ils se concentrent sur les menaces évidentes, alors que les cybercriminels opèrent dans l’ombre, faisant passer leurs attaques pour du trafic web normal.

Pour les entreprises, cela signifie que les stratégies de sécurité doivent évoluer. Les défenses statiques basées sur des règles ne suffiront pas. Les abus de TDS se développent trop rapidement et changent trop souvent. La seule façon d’aller de l’avant est d’utiliser une technologie plus intelligente, une détection des menaces basée sur l’IA capable d’identifier des schémas subtils dans le trafic web, de repérer les anomalies et de s’adapter en temps réel.

Selon Zhanhao Chen, chercheur principal chez Palo Alto Networks, des recherches récentes montrent que ces activités malveillantes de TDS sont devenues plus avancées, les attaquants utilisant des chaînes de redirection plus longues et plus complexes. La sécurité ne doit plus se contenter de réagir après coup. Il est temps de construire des systèmes de détection proactifs et intelligents qui suivent le rythme des cybermenaces.

L’abus de TDS facilite les campagnes de ransomware et de vol d’informations par des logiciels malveillants.

Les cybercriminels mènent des campagnes très efficaces qui utilisent les systèmes de distribution de trafic (TDS) pour diffuser des ransomware et voler des données sensibles. L’une des plus grandes menaces actuelles est le malware SocGholish, également connu sous le nom de FakeUpdate. Les attaquants injectent un code malveillant dans les sites web compromis, redirigeant les utilisateurs peu méfiants vers de fausses pages de mise à jour. Une fois qu’ils ont téléchargé ce qui semble être une mise à jour logicielle légitime, des ransomwares et divers types de logiciels malveillants pénètrent dans leur système sans être détectés.

Cette méthode est dangereuse car elle exploite le comportement de base des utilisateurs. Les employés, les clients et même les équipes informatiques peuvent voir une invite de mise à jour et cliquer sans s’interroger sur sa légitimité. Dès lors, le chargeur de logiciels malveillants installe des portes dérobées, vole des informations d’identification ou déploie un ransomware qui verrouille des réseaux entiers.

Keitaro, un fournisseur commercial de TDS, a été associé à plusieurs reprises à ces attaques. Bien qu’il fonctionne comme une entreprise légitime, sa plateforme est largement utilisée par les cybercriminels pour construire des réseaux de redirection malveillants à grande échelle. Les chercheurs de Proofpoint ont récemment découvert que Keitaro avait joué un rôle clé dans une campagne de vol d’informations, ce qui renforce les inquiétudes quant à la faiblesse des mesures de lutte contre les abus. En réalité, les acteurs de la menace n’ont pas besoin de s’appuyer sur d’obscurs outils clandestins lorsque des plateformes commerciales offrent les mêmes capacités avec peu de surveillance.

Pour les responsables de la sécurité et les dirigeants, cela signifie que pour arrêter les ransomwares et les logiciels malveillants, il faut suivre toute la chaîne d’attaque, y compris la façon dont les utilisateurs sont redirigés vers des pages malveillantes. Des outils de sécurité avancés, une surveillance en temps réel et des programmes renforcés de sensibilisation des utilisateurs sont essentiels pour garder une longueur d’avance sur ces menaces en constante évolution. Les cyberattaques deviendront de plus en plus intelligentes, les entreprises doivent agir encore plus vite.

La détection est difficile en raison des techniques d’occultation du TDS.

Les équipes de sécurité sont confrontées à un défi majeur : les cybercriminels utilisent des techniques de camouflage avancées pour dissimuler les activités malveillantes du système de distribution du trafic (TDS). Les attaquants font désormais passer le trafic par plusieurs domaines d’apparence légitime avant d’atteindre leur destination finale malveillante. Cette approche rend les outils d’analyse automatique moins efficaces, car les systèmes de sécurité voient ce qui semble être un trafic normal. Lorsque la véritable menace est découverte, le mal est déjà fait.

Un autre niveau de complexité provient de la manière dont les réseaux TDS sont structurés. Ces systèmes sont conçus pour évoluer rapidement et remplacer les domaines malveillants dès qu’ils sont détectés. Le blocage d’un domaine ralentit à peine les cybercriminels, car ils en lancent rapidement de nouveaux. Ce cycle constant rend les mesures de sécurité traditionnelles peu fiables : le temps que les équipes mettent sur liste noire un domaine TDS connu, les attaquants sont déjà passés à un nouveau domaine.

Les chercheurs de l’unité 42 de Palo Alto Networks ont tenté d’anticiper ce problème en utilisant des modèles d’apprentissage automatique pour détecter les activités malveillantes des TDS en temps réel. Dès le premier mois de déploiement, ils ont identifié plus de 200 nouveaux domaines TDS malveillants. La vitesse à laquelle les attaquants opèrent signifie que les entreprises ont besoin de défenses automatisées capables de s’adapter tout aussi rapidement.

Pour les entreprises, il s’agit d’un signal clair que les méthodes de détection conventionnelles ne suffisent plus. Les listes noires statiques et les défenses réactives seront toujours à la traîne d’une infrastructure conçue pour évoluer rapidement. L’accent doit être mis sur l’analyse pilotée par l’IA, la surveillance continue et des modèles de sécurité plus dynamiques capables d’identifier les schémas malveillants avant qu’ils ne se transforment en brèche à grande échelle. Les acteurs de la menace ne ralentissent pas, et les stratégies de cybersécurité non plus.

Certaines plateformes commerciales de TDS peuvent fermer les yeux sur les abus

Tous les cybercriminels ne s’appuient pas sur des outils clandestins. Nombre d’entre eux exploitent des plateformes commerciales de systèmes de distribution du trafic (TDS) qui devraient appliquer des mesures de sécurité strictes, mais ne le font souvent pas. Alors que certaines plateformes prétendent soutenir la publicité numérique légitime, elles sont régulièrement associées à des campagnes malveillantes. Keitaro, par exemple, a été utilisé dans de nombreuses cyberattaques, y compris des logiciels malveillants SocGholish et des campagnes de désinformation. Malgré cela, ses opérateurs n’ont pas pris de mesures significatives pour empêcher les abus.

Cela soulève une question essentielle : certains fournisseurs commerciaux peuvent ignorer les abus parce qu’ils sont rentables. Les cybercriminels paient pour l’accès, tout comme les utilisateurs légitimes, ce qui incite les plateformes à éviter une surveillance stricte. Les petites entreprises de technologie publicitaire, en particulier, ont peu de raisons d’investir dans une sécurité renforcée si cela peut réduire leur portée sur le marché. En l’absence de responsabilité, ces plateformes continuent de fonctionner comme des outils essentiels pour les acteurs de la menace, permettant aux campagnes de logiciels malveillants de s’étendre plus rapidement.

Un analyste de renseignements sur les menaces connu sous le nom de « Gi7w0rm » a suivi l’implication de Keitaro dans de nombreux projets malveillants. Les preuves recueillies indiquent systématiquement des failles de sécurité qui permettent aux cybercriminels d’opérer avec un minimum de résistance.

Pour les chefs d’entreprise, cela explique pourquoi il est si difficile de bloquer les activités malveillantes du TDS. Tant que les services commerciaux continueront d’être utilisés à mauvais escient, les attaquants auront facilement accès à une infrastructure fiable. Pour résoudre ce problème, il faut renforcer la pression réglementaire, améliorer l’autosurveillance du secteur et déployer des efforts plus agressifs en matière de démantèlement. Les entreprises qui dépendent de la publicité numérique devraient également être plus sélectives quant aux plateformes qu’elles utilisent, afin de s’assurer qu’elles luttent activement contre l’exploitation cybercriminelle. Si certains fournisseurs de TDS refusent d’appliquer la sécurité, ils doivent être considérés comme des entités à haut risque.

Une stratégie de blocage généralisé des plates-formes TDS n’est pas une solution efficace.

Bloquer tout le trafic du système de distribution du trafic (TDS) peut sembler une solution simple, mais en pratique, elle crée plus de problèmes qu’elle n’en résout. De nombreuses entreprises légitimes s’appuient sur les plateformes TDS pour des opérations essentielles, notamment la gestion du trafic, le marketing numérique et l’équilibrage des charges. Une interdiction générale perturberait ces fonctions, entraînant des faux positifs qui entraveraient les activités normales de l’entreprise. Les solutions de sécurité doivent être précises et non excessives.

Les cybercriminels comprennent le fonctionnement de ces systèmes et s’y adaptent rapidement. Si certains domaines TDS sont bloqués, les attaquants en créent de nouveaux. Ce cycle constant rend inefficace une approche de blocage généralisé, tout en risquant de causer des dommages involontaires aux entreprises qui utilisent les plateformes TDS à des fins légitimes. Les stratégies de sécurité doivent se concentrer sur une détection ciblée et fondée sur des données plutôt que sur l’application de filtres aveugles.

Zhanhao Chen, chercheur principal chez Palo Alto Networks, a souligné que les entreprises utilisent couramment des services de raccourcissement et de redirection d’URL, dont beaucoup recoupent les mêmes capacités de gestion du trafic que celles des plates-formes TDS. Les bloquer complètement affecterait les opérations normales, créant des perturbations inutiles. Au lieu d’interdire des catégories entières de services, les entreprises ont besoin de mécanismes de filtrage plus intelligents, capables de faire la distinction entre les cas d’utilisation légitimes et malveillants.

La bonne voie à suivre est une combinaison d’analyse pilotée par l’IA, de surveillance du réseau en temps réel et de stratégies de blocage adaptatives. Les entreprises doivent être en mesure de détecter les schémas malveillants sans éliminer l’accès aux outils utiles. Les attaquants affinent constamment leurs tactiques, et les équipes de sécurité ont besoin de systèmes qui évoluent tout aussi rapidement. L’objectif est de s’assurer que les bonnes choses restent opérationnelles pendant que les menaces sont éliminées.

Principaux faits marquants

Les activités TDS malveillantes évoluent plus rapidement que les défenses traditionnelles : Les cybercriminels utilisent des redirections sophistiquées pour dissimuler des intentions malveillantes dans le trafic web normal, ce qui complique la détection. Les dirigeants devraient investir dans des solutions de sécurité pilotées par l’IA, capables d’analyser des modèles et de détecter des anomalies en temps réel.
L’abus de TDS alimente les ransomwares et le vol de données à grande échelle : Les attaquants exploitent les plateformes TDS telles que Keitaro pour distribuer des logiciels malveillants, notamment SocGholish, ce qui entraîne des infections par ransomware et le vol d’informations d’identification. Les entreprises doivent renforcer la sécurité des points d’accès et les programmes de sensibilisation des utilisateurs afin d’atténuer ces menaces.
Le camouflage et l’infrastructure dynamique du TDS rendent le blocage inefficace : Les acteurs de la menace utilisent des domaines d’apparence légitime pour masquer les charges utiles finales et remplacer rapidement les domaines bloqués. Les dirigeants devraient insister sur la nécessité d’une surveillance continue et de modèles de sécurité adaptatifs capables de répondre à ces tactiques en constante évolution.
Certaines plateformes commerciales de TDS favorisent la cybercriminalité en ignorant les abus : Les plateformes permettent, sciemment ou non, aux attaquants d’exploiter leurs services, en privilégiant les revenus à la sécurité. Les organisations devraient examiner de près leurs partenariats avec les technologies publicitaires et faire pression pour une autorégulation plus stricte de l’industrie.
Le blocage général des TDS perturbe les opérations et n’arrête pas les attaquants : Une interdiction générale des plateformes TDS crée des faux positifs et a un impact sur les fonctions légitimes, tandis que les cybercriminels s’adaptent rapidement. Les dirigeants devraient donner la priorité à la détection précise des menaces plutôt qu’à des approches de blocage aveugles.

Alexander Procter

avril 7, 2025

11 Min

Technologies et innovation
Pourquoi la plupart des plateformes numériques échouent avant de passer à l’échelle supérieure
Avr 25, 2025
13 min
Technologies et innovation
Quand les fichiers de modèles deviennent un risque de sécurité dans PyTorch lightning
Avr 25, 2025
16 min
Technologies et innovation
Ce que les leaders CX doivent savoir sur l’IA et la prise de décision en entreprise.
Avr 25, 2025
15 min

Pourquoi le trafic TDS malveillant ne cesse d’augmenter et que faire ?

Les activités malveillantes de TDS sont de plus en plus sophistiquées et de plus en plus difficiles à détecter

L’abus de TDS facilite les campagnes de ransomware et de vol d’informations par des logiciels malveillants.

La détection est difficile en raison des techniques d’occultation du TDS.

Certaines plateformes commerciales de TDS peuvent fermer les yeux sur les abus

Une stratégie de blocage généralisé des plates-formes TDS n’est pas une solution efficace.

Principaux faits marquants

Pourquoi la plupart des plateformes numériques échouent avant de passer à l’échelle supérieure

Quand les fichiers de modèles deviennent un risque de sécurité dans PyTorch lightning

Ce que les leaders CX doivent savoir sur l’IA et la prise de décision en entreprise.

Les meilleurs conseils de perfectionnement pour les professionnels de l’informatique d’Apple

Logiciel de livraison du dernier kilomètre : Exploiter les données en temps réel pour plus d’efficacité

Conception réactive ou adaptative : Choisir la bonne approche

Renforcer la fidélité des clients : L’importance du suivi numérique des commandes sur les plateformes de commerce électronique

Explorer le potentiel de l’informatique périphérique multi-accès dans les applications IdO

L’équilibre entre la personnalisation et la protection de la vie privée dans le monde numérique

Mots clés de longue traîne ou de courte traîne : Lequel est le meilleur pour les conversions

Les informations « cross-devices » révolutionnent les stratégies marketing à l’ère du tout-mobile

Chef de Projet: 4 solutions pour éviter les pièges de l’estimation de temps