SWF.Exploit pour pousser Reveton

L'actualité & News Informatique!
Donc pas de demande d'aide dans cette partie.
Malekal_morte
Site Admin
Site Admin
Messages : 95747
Inscription : 10 sept. 2005 13:57
Contact :

SWF.Exploit pour pousser Reveton

Message par Malekal_morte » 29 nov. 2014 15:34

Ces derniers jours, une campagne de malvertising a touché deux régies de publicités sur les sites d'adultes (adxpansion et ero-advertising) - vous n'avez certainement pas dû en entendre parler car ces campagnes ne visaient pas la France PDT_019

Cette campagne visait à pousser du Reveton, la dernière "variante vivante" des ransomwares virus gendarmerie.

Quelques tweets concernant cette campagne :
https://twitter.com/malekal_morte/statu ... 6157683712
https://twitter.com/malekal_morte/statu ... 5144753152
https://twitter.com/malekal_morte/statu ... 7252435969
https://twitter.com/malekal_morte/statu ... 9813378048

Une petite différence avec les campagnes précédentes, d'habitude, les traffers tentaient de mettre en ligne, via le régies publicitaires, une applet Flash qui visait à rediriger vers un domaine intermédiaire qui ensuite redirigait vers un Web exploit kit - en général Angler-EK.
Cette fois-ci, l'applet SWF est une applet qui embarque un exploit (CVE-2014-0515 ou CVE-2014-0569) qui va télécharger et executer le dropper Reveton.
C'est donc un Web Exploit kit qui est directement chargé sur les régies pour adulte - un parent de Flash EK - Malwarebytes en parle ici : https://blog.malwarebytes.org/exploits- ... l-the-way/

Moins de liens intermédiaires, moins de chance d'être blacklisté.
Les antivirus ne peuvent pas non plus blacklister le domaine de la régie, cela les oblige à suivre les liens qui peuvent changer toutes les heures, ainsi que le SWF.Exploit qui peut être réuploadé par les pirates.

F-Secure a été relativement bon dans la détection de ces Exploit.SWF qui ont été clairement en haut de leur top 10.

Cette campagne est celle au départ - et elle fait mal.
Elle visait les USA - la détection F-Secure est Exploit:SWF/Salama.H :

Image

Celle-ci a été mise en place après que la campagne USA a été cassée, elle visait l'Europe (mais pas la France).
La détection F-Secure est Exploit:SWF/CVE-2014-0569.A
Image

Si vous regardez la première détection, ell est à plus de 5000 hits.
Pour vous donner un ordre d'idée, sur ce lien, j'avais rapporté une malvertising sur le site xvideos.com qui est un site du top 100 : http://malvertising.stopmalwares.com/20 ... vertising/

Comme vous pouvez le voir, la détection se nomme Trojan:W32/Redirector.EE - on est exactement dans le cas expliqué dans l'introduction avec une redirection vers un domaine intermédiaire qui va rediriger vers le web exploitkit.
Image

On peut donc facilement déduire que des milliers d'internautes se sont vus infecter lors de cette campagne.

On voit aussi encore ici, la problématique des malvertising qui permettent d'avoir de gros traffic, des campagnes rapides et fortes, qui visent des pays en particuliern ce qui peut les rendre difficiles à détecter ou suivre.


Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Malekal_morte
Site Admin
Site Admin
Messages : 95747
Inscription : 10 sept. 2005 13:57
Contact :

Re: SWF.Exploit pour pousser Reveton

Message par Malekal_morte » 29 nov. 2014 19:44

En représaille les auteurs viennent d'effectuer une attaque DoS de type WordPress Ping Back (un article de sucuri en parle : http://blog.sucuri.net/2014/03/more-tha ... ttack.html ).
Le but est d'utiliser des sites Wordpress pour faire écho et submerger un site WEB.

Dans notre cas, 400 c/s pour environ 1400 sites : https://www.malekal.com/download/DoS_wor ... ngback.txt
Image

Image

Image

Image

Image
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Malekal_morte
Site Admin
Site Admin
Messages : 95747
Inscription : 10 sept. 2005 13:57
Contact :

Re: SWF.Exploit pour pousser Reveton

Message par Malekal_morte » 10 avr. 2019 20:23

Un article concernant l'arrestation d'un traffer pour Reveton à l'origine de nombreuses campagnes de malvertising.
=> Arrestation d’un cybercriminel lié à des malvertising et virus police
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Répondre

Revenir vers « Actualité & News Informatique »