Nuclear Exploit Kit (Nuclear EK)

L'actualité & News Informatique!
Donc pas de demande d'aide dans cette partie.
Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87321
Inscription : 10 sept. 2005 13:57
Contact :

Nuclear Exploit Kit (Nuclear EK)

Message par Malekal_morte » 23 avr. 2016 17:17

Une page autour de l'actualité de Nuclear Exploit Kit (EK). Ce kit est apparu en 2010, il s'agit d'un des trois Web Exploit Kit les plus utilisés avec Angler Exploit Kit et Magnitude Exploit Kit.

Si vous n'avez aucune idée de la nature de ce sujet, lire la page : Les Web ExploitKit.

Pendant l'écriture de cet article, je songe à ces régies publicitaires piégées actives depuis février 2016 qui n'ont jamais été nettoyées depuis tout ce temps. Lire le sujet OpenX : Malvertising qui conduit à des kits Nuclear EK.

Image
Image

Talos ( Intel ) a publié un article concernant une campagne de malvertising (publicités malicieuses) d'envergure via Nuclear Exploit Kit : http://blog.talosintel.com/2016/04/nuclear-exposed.html

Ces publicités malicieuses visent des sites pornographiques, ce qui est loin d'être nouveau, c'est même extrêmement populaire depuis 2012 avec les trojans Winlock (Virus Gendarmerie). Des sites comme xvideos, xhamster, pornerbros,.. ont déjà connus ça. J'en avais d'ailleurs détaillé quelques cas sur la page : [en] Some words about malvertisings in adult world

D'après Talos ( Intel ), la bannière publicitaire piégée aurait été affichée par 25 000 IPs uniques en un seul jour. En appliquant la géolocalisation IP aux IPs uniques, il a été déduit que la campagne Nuclear EK a été présente dans 150 pays et dans 10 000 villes dans le monde.

Image

Nuclear Exploit Kit vise plutôt l'Europe alors qu'Angler Exploit Kit vise plutôt les internautes américains.
Au niveau des langues utilisées, la France se place 4 ème.

Image

Par pays, la France est 6 ème.

Image

Sur les adresses referers, les deux premiers liens sont des régies publicitaires/traffic broker.

Image

On trouve notamment "viree-malin.fr" ( que je vais tenter de contacter )

Image

Image

80% des exploits visent Adobe Flash ( voir 0-day : Flash, Java, Microsoft )
Contrairement à Angler EK ou Rig EK, Microsoft SilverLight ne semble pas les intéresser.

Check Point a publié un document PDF sur l'infrastructure de Nuclear Pack:
https://blog.checkpoint.com/wp-content/ ... ar-1-2.pdf

Image

TDS signifie "Traffic Direction Systems" : il s'agit d'un outil qui redirige sur des contenus prédéfinis selon des règles basés sur l'environnement de l'internaute (langue, pays, versions, user-agent, referer, date/heure, logiciels installés, etc.. ) Un TDS est l'outil adéquat pour rediriger les internautes vulnérables vers des kits comme Nuclear EK.

Image

Panneau de gestion de Nuclear EK:

Image

Les statistiques des campagnes par pays de Check Point sont proches de celles de Talos.

Image

Le blog BroadAnalysis donne un exemple de campagne Nuclear EK qui diffuse TeslaCrypt - Virus RSA 4096.
cool-margaritajyxawd-top2.jpg
TeslaCrypt RSA 4096 - Nuclear Exploit Kit
Sans réelle surprise, Nuclear EK tente de diffuser massivement des ransomwares et notamment le fameux Locky. Nous avions aussi publié une autre campagne ExploitKit : Campagne malicieuse Amedia / megaadvertize qui visait les CMS WordPress & Joomla. Au départ, ils utilisaient Nuclear EK puis sont passés à Angler EK

D'où nos préconisations depuis de longues années, maintenez vos programmes à jour.
Et plus globalement, essayez de sécuriser Windows.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87321
Inscription : 10 sept. 2005 13:57
Contact :

Re: Nuclear Exploit Kit (Nuclear EK)

Message par Malekal_morte » 26 avr. 2016 12:42

Trojan Gootkit par Nuclear Exploit Kit Malvertising : https://twitter.com/malekal_morte/statu ... 7230389248
Nuclear_ExploitKit_malvertising_trafficholder.png
Trojan par Nuclear Exploit Kit Malvertising
Nuclear_ExploitKit_malvertising_trafficholder.png (4.13 Kio) Consulté 1395 fois
et...

+1 mois plus tard : Trafficholder Malvertising, Exploit Kit, Trojan et Ransomware

Image

Image
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87321
Inscription : 10 sept. 2005 13:57
Contact :

Re: Nuclear Exploit Kit (Nuclear EK)

Message par Malekal_morte » 13 juin 2016 10:27

D'après Kafeine, Nuclear Pack semble avoir disparu le 30 avril 2016 : Is it the End of Angler ?
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Répondre

Revenir vers « Actualité & News Informatique »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 3 invités