Page 1 sur 1

Darkleech

Publié : 29 oct. 2013 18:15
par Malekal_morte
generation-nt.com touché par Darleech => https://www.malekal.com/2013/10/29/hack- ... darkleech/
Pour rappel, Darkleech est un malware qui s'attaque au serveur WEB Linux et charge son propre module Apache afin de pouvoir injecter des iframes lors du chargement des pages WEB par les visiteurs.
Darkleech va rediriger les internautes vers des publicités ou des des exploits WEB.

GNT | NVIDIA

Publié : 31 oct. 2013 16:18
par ѠOOT
Quelques détails additionnels pour lecteurs avertis. La charge est toujours un PE de type SFX. L'installateur de type NSIS embarque le programme malveillant à installer. Pour l'instant, celui-ci est configuré de façon à tenter d'usurper le système de mise à jour de NVIDIA, le service "NvUpdSrv".

Lorsque Malekal a rédigé son billet, le fichier était compilé à la date du mercredi 23 octobre 2013 à 14:16:54. Pour la petite anecdote, dans celui-ci, il y avait également un tiny-downloader d'à peine 2 ko qui tentait de récupérer et d'exécuter une ressource depuis NETWORKSECURITYX.HOPTO.ORG ( désormais neutralisé ). Le programme installé est continuellement mis à jour. Ce matin par exemple, nous avons constaté de nouvelles infections en provenance de GNT et nous avons constaté que le fichier était compilé du mercredi 30 octobre 2013 à 18:52:09. L'éditeur NOD32 annonce que la menace détectée se nomme Win32/Glupteba.M.

Des informations contenues dans la capture pcap obtenue sur ce rapport peuvent contribuer à l'identification de ce malware sur vos infrastructures. Principalement sur les résolutions DNS (53/UDP)
Image

Inquiétez vous si vous avez eu des queries sur :
178.63.99.134
*.stolovka.org
*.pivnuha.org
*.konditerskaja.org

Pour me donner une idée, j'ai effectué les résolutions possibles à partir des *.org du dernier échantillon.

Image

Le petit "173.193.105.243" de SoftLayer semble si seul dans son coin... non ?

Image

A suivre...

Re: generation-nt touché par Darkleech

Publié : 02 nov. 2013 17:41
par ѠOOT
Œil de perdrix à radariste,
Banane sur le moniteur.
Aliens à 11H via GNT.

Lorsque le site charge les ressources depuis la machine static.generation-nt.com
Le serveur retourne via le protocole de communication HTTP un code 302.

178.21.9.5/index.php?x=anM9MSZhbGFxZmRtdz16dHZ4eXBqdnNsJnRpbWU
9MTMxMTAyMTM0MC0xNTI4OTM1NzQxJnNyYz0xMDYmc3VybD1zdGF0aWMuZ2VuZXJhdGlv
bi1udC5jb20mc3BvcnQ9ODAma2V5PTJBMEFEQ0MzJnN1cmk9L2pzL21haW4uanMlM2Z2PTA
4MjIxNjAw


La variable "x" a pour valeur ( en gras ) une chaine ASCII encodée en Base64, sous sa forme décodée:

Code : Tout sélectionner

?js=1
&alaqfdmw=ztvxypjvsl
&time=1311021340-1528935741
&src=106
&surl=static.generation-nt.com
&sport=80
&key=2A0ADCC3
&suri=/js/main.js%3fv=08221600
Comme l'indique time, la campagne est... nouvelle.

Malekal, j'éditerai prochainement pour te fournir des infos.

Re: Darkleech

Publié : 01 juin 2016 09:35
par Malekal_morte
Sur son blog, McAfee a récemment écrit une entrée concernant DarkLeech :
https://blogs.mcafee.com/mcafee-labs/se ... k-iframes/

Il est toujours actif, le script utilisé pour rediriger les internautes est plus sophistiqué.
Darkleech_script_offusque.png
Darkleech Script