ExploitKit : Campagne malicieuse Amedia / megaadvertize

L'actualité & News Informatique!
Donc pas de demande d'aide dans cette partie.
Malekal_morte
Site Admin
Site Admin
Messages : 96125
Inscription : 10 sept. 2005 13:57
Contact :

ExploitKit : Campagne malicieuse Amedia / megaadvertize

Message par Malekal_morte » 20 févr. 2016 12:37

Cette campagne vise à exploiter le maximum des CMS de type WordPress et Joomla vulnérables à de failles de sécurité connues afin d'y place un code malveillant permettant de rediriger les internautes vers un kit d'exploitation de vulnérabilités connu sous le nom de Angler. Ces piratages de sites demeurent, avec les malvertising (publicités malicieuses), un des moyen les plus utiliser pour obtenir du traffic illicite de manière massive.
Pour ceux qui ne connaitraient pas encore, le principe des Web Exploit, il s'agit de kit (ou programme) qui permet l'infection de l'ordinateur de manière automatique et transparente par la simple visite d'un site WEB. Le Web ExploitKit est chargé en fond et va pouvoir télécharger et installer un malware sur l'ordinateur en tirant partie de vulnérabilités présentes sur les les logiciels installés et notamment les plugins des navigateurs WEB comme Flash, Java ou Silverlight par exemple. D'où l'importance de tenir à jour ses programmes installés. Angler WebExploit Kit est un de ces Kits. La vidéo suivante vous montre l'infection d'un ordinateur par un Angler EK, via l'exploitation d'une vulnérabilité sur Silverlight

Les noms Admedia / megaadvertize proviennent des noms utilisés dans les URLs des redirections.
Initialement, c'est le nom "Admedia" qui a été utilisé, puis actuellement a été ajouté "megaadvertize".

La campagne a été médiatisé par la société Sucuri le 1er février 2016 dans un billet intitulé Massive Admedia/Adverting iFrame Infection. La redirection utilisait un autre kit d'exploitation nommé "Nuclear Exploit Kit" qui diffusait à l'époque le rançongiciel chiffreur de fichiers TeslaCrypt. Au niveau timing, ça correspondait pile au passage de la campagne TeslaCrypt diffusée via des emails malicieux avec Web Exploitkit.

La société MalwareBytes a aussi communiquée sur l'évènement : WordPress Compromise Campaign: From Nuclear EK To Angler EK.

Image

Le code se trouve sur la page "jquery.js" dont voici la ridicule détection :
SHA256: 6f132f89f8102aed0d550c5530266e307d35c85fa7c14af81c932e866f800e45
Nom du fichier : jquery.js
Ratio de détection : 2 / 55

Antivirus Résultat Mise à jour
AVG HTML/Framer 20160220
Microsoft VirTool:JS/Obfuscator.HO 20160220
AVG le détecte en HTML/Framer :
Image

Il est interessant de noter la présence d'un mécanisme qui filtre les navigateurs : seuls les internautes qui utilisent l'ex-navigateur de Microsoft, à savoir Internet Explorer, sont redirigés vers le dangereux contenu des pages megaadvertize.

Image

Image

Sur les megaadvertize, un deuxième filtre va tester la résolution d'écran.
SHA256: fcf194f535e9ccea121bdac13dd424cf9df8f2b69b606ce1d788c11ccf0ad48f
Nom du fichier : script.txt
Ratio de détection : 5 / 54
Date d'analyse : 2016-02-20 09:40:20 UTC (il y a 10 minutes)

Antivirus Résultat Mise à jour
Cyren JS/AdmedCrypt.A.gen 20160220
F-Prot JS/AdmedCrypt.A.gen 20160220
McAfee-GW-Edition BehavesLike.HTML.ExploitBlacole.xr 20160220
Microsoft Exploit:JS/Axpergle 20160220
NANO-Antivirus Trojan.Script.Heuristic-js.iacgm 20160220
Image

Image

La redirection vers l'adresse d'Angler conduit à l'installation de TeslaCrypt.

Image

Comme il n'y a pas de petit profit, la redirection va aussi charger une publicité.

Il y a deux choses qui retiennent mon attention :
Cette campagne ne vise QUE les utilisateurs d'Internet Explorer : Angler ExploitKit possède des filtres et ne visent qu'Internet Explorer depuis environ deux ans. Les utilisateurs de Mozilla Firefox et Google Chrome ne peuvent normalement pas être infectés. Reste que les mises à jour des logiciels installés est primordiale, on ne cessera jamais de le répéter.

Il est très important de veiller à maintenir son site à jour :
Pour plus d'informations : Apache : sécuriser son site + site web et Javascript malicieux

Ces sites, non maintenus, constituent à ce jour un terreau fertile pour les criminels et les conséquences se ressent partout à travers le monde puisqu'il y a une augmentation constante de victimes liés à des rançongiciels, notamment concernant TeslaCrypt. Ces afflux d'argents seront en partie ré-investi dans de futures campagnes mais peuvent également contribuer à financer des actions d'un tout autre genre. NE PAYEZ JAMAIS !


Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Répondre

Revenir vers « Actualité & News Informatique »