Darkleech

L'actualité & News Informatique!
Donc pas de demande d'aide dans cette partie.
Malekal_morte
Site Admin
Site Admin
Messages : 95779
Inscription : 10 sept. 2005 13:57
Contact :

Darkleech

Message par Malekal_morte » 29 oct. 2013 18:15

generation-nt.com touché par Darleech => https://www.malekal.com/2013/10/29/hack- ... darkleech/
Pour rappel, Darkleech est un malware qui s'attaque au serveur WEB Linux et charge son propre module Apache afin de pouvoir injecter des iframes lors du chargement des pages WEB par les visiteurs.
Darkleech va rediriger les internautes vers des publicités ou des des exploits WEB.


Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


ѠOOT
Geek à longue barbe
Geek à longue barbe
Messages : 1043
Inscription : 28 déc. 2011 19:39

GNT | NVIDIA

Message par ѠOOT » 31 oct. 2013 16:18

Quelques détails additionnels pour lecteurs avertis. La charge est toujours un PE de type SFX. L'installateur de type NSIS embarque le programme malveillant à installer. Pour l'instant, celui-ci est configuré de façon à tenter d'usurper le système de mise à jour de NVIDIA, le service "NvUpdSrv".

Lorsque Malekal a rédigé son billet, le fichier était compilé à la date du mercredi 23 octobre 2013 à 14:16:54. Pour la petite anecdote, dans celui-ci, il y avait également un tiny-downloader d'à peine 2 ko qui tentait de récupérer et d'exécuter une ressource depuis NETWORKSECURITYX.HOPTO.ORG ( désormais neutralisé ). Le programme installé est continuellement mis à jour. Ce matin par exemple, nous avons constaté de nouvelles infections en provenance de GNT et nous avons constaté que le fichier était compilé du mercredi 30 octobre 2013 à 18:52:09. L'éditeur NOD32 annonce que la menace détectée se nomme Win32/Glupteba.M.

Des informations contenues dans la capture pcap obtenue sur ce rapport peuvent contribuer à l'identification de ce malware sur vos infrastructures. Principalement sur les résolutions DNS (53/UDP)
Image

Inquiétez vous si vous avez eu des queries sur :
178.63.99.134
*.stolovka.org
*.pivnuha.org
*.konditerskaja.org

Pour me donner une idée, j'ai effectué les résolutions possibles à partir des *.org du dernier échantillon.

Image

Le petit "173.193.105.243" de SoftLayer semble si seul dans son coin... non ?

Image

A suivre...
‮Vous aimez la sécurité informatique ? Dopez vos neurones, achetez MISCMAG !
...nuf rof tsuJ

ѠOOT
Geek à longue barbe
Geek à longue barbe
Messages : 1043
Inscription : 28 déc. 2011 19:39

Re: generation-nt touché par Darkleech

Message par ѠOOT » 02 nov. 2013 17:41

Œil de perdrix à radariste,
Banane sur le moniteur.
Aliens à 11H via GNT.

Lorsque le site charge les ressources depuis la machine static.generation-nt.com
Le serveur retourne via le protocole de communication HTTP un code 302.

178.21.9.5/index.php?x=anM9MSZhbGFxZmRtdz16dHZ4eXBqdnNsJnRpbWU
9MTMxMTAyMTM0MC0xNTI4OTM1NzQxJnNyYz0xMDYmc3VybD1zdGF0aWMuZ2VuZXJhdGlv
bi1udC5jb20mc3BvcnQ9ODAma2V5PTJBMEFEQ0MzJnN1cmk9L2pzL21haW4uanMlM2Z2PTA
4MjIxNjAw


La variable "x" a pour valeur ( en gras ) une chaine ASCII encodée en Base64, sous sa forme décodée:

Code : Tout sélectionner

?js=1
&alaqfdmw=ztvxypjvsl
&time=1311021340-1528935741
&src=106
&surl=static.generation-nt.com
&sport=80
&key=2A0ADCC3
&suri=/js/main.js%3fv=08221600
Comme l'indique time, la campagne est... nouvelle.

Malekal, j'éditerai prochainement pour te fournir des infos.
‮Vous aimez la sécurité informatique ? Dopez vos neurones, achetez MISCMAG !
...nuf rof tsuJ

Malekal_morte
Site Admin
Site Admin
Messages : 95779
Inscription : 10 sept. 2005 13:57
Contact :

Re: Darkleech

Message par Malekal_morte » 01 juin 2016 09:35

Sur son blog, McAfee a récemment écrit une entrée concernant DarkLeech :
https://blogs.mcafee.com/mcafee-labs/se ... k-iframes/

Il est toujours actif, le script utilisé pour rediriger les internautes est plus sophistiqué.
Darkleech_script_offusque.png
Darkleech Script
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Répondre

Revenir vers « Actualité & News Informatique »