Darkleech

L'actualité & News Informatique!
Donc pas de demande d'aide dans cette partie.
Malekal_morte
Messages : 110933
Inscription : 10 sept. 2005 13:57

Darkleech

par Malekal_morte »

generation-nt.com touché par Darleech => https://www.malekal.com/2013/10/29/hack ... darkleech/
Pour rappel, Darkleech est un malware qui s'attaque au serveur WEB Linux et charge son propre module Apache afin de pouvoir injecter des iframes lors du chargement des pages WEB par les visiteurs.
Darkleech va rediriger les internautes vers des publicités ou des des exploits WEB.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
ѠOOT

GNT | NVIDIA

par ѠOOT »

Quelques détails additionnels pour lecteurs avertis. La charge est toujours un PE de type SFX. L'installateur de type NSIS embarque le programme malveillant à installer. Pour l'instant, celui-ci est configuré de façon à tenter d'usurper le système de mise à jour de NVIDIA, le service "NvUpdSrv".

Lorsque Malekal a rédigé son billet, le fichier était compilé à la date du mercredi 23 octobre 2013 à 14:16:54. Pour la petite anecdote, dans celui-ci, il y avait également un tiny-downloader d'à peine 2 ko qui tentait de récupérer et d'exécuter une ressource depuis NETWORKSECURITYX.HOPTO.ORG ( désormais neutralisé ). Le programme installé est continuellement mis à jour. Ce matin par exemple, nous avons constaté de nouvelles infections en provenance de GNT et nous avons constaté que le fichier était compilé du mercredi 30 octobre 2013 à 18:52:09. L'éditeur NOD32 annonce que la menace détectée se nomme Win32/Glupteba.M.

Des informations contenues dans la capture pcap obtenue sur ce rapport peuvent contribuer à l'identification de ce malware sur vos infrastructures. Principalement sur les résolutions DNS (53/UDP)
Image

Inquiétez vous si vous avez eu des queries sur :
178.63.99.134
*.stolovka.org
*.pivnuha.org
*.konditerskaja.org

Pour me donner une idée, j'ai effectué les résolutions possibles à partir des *.org du dernier échantillon.

Image

Le petit "173.193.105.243" de SoftLayer semble si seul dans son coin... non ?

Image

A suivre...
ѠOOT

Re: generation-nt touché par Darkleech

par ѠOOT »

Œil de perdrix à radariste,
Banane sur le moniteur.
Aliens à 11H via GNT.

Lorsque le site charge les ressources depuis la machine static.generation-nt.com
Le serveur retourne via le protocole de communication HTTP un code 302.

178.21.9.5/index.php?x=anM9MSZhbGFxZmRtdz16dHZ4eXBqdnNsJnRpbWU
9MTMxMTAyMTM0MC0xNTI4OTM1NzQxJnNyYz0xMDYmc3VybD1zdGF0aWMuZ2VuZXJhdGlv
bi1udC5jb20mc3BvcnQ9ODAma2V5PTJBMEFEQ0MzJnN1cmk9L2pzL21haW4uanMlM2Z2PTA
4MjIxNjAw


La variable "x" a pour valeur ( en gras ) une chaine ASCII encodée en Base64, sous sa forme décodée:

Code : Tout sélectionner

?js=1
&alaqfdmw=ztvxypjvsl
&time=1311021340-1528935741
&src=106
&surl=static.generation-nt.com
&sport=80
&key=2A0ADCC3
&suri=/js/main.js%3fv=08221600
Comme l'indique time, la campagne est... nouvelle.

Malekal, j'éditerai prochainement pour te fournir des infos.
Malekal_morte
Messages : 110933
Inscription : 10 sept. 2005 13:57

Re: Darkleech

par Malekal_morte »

Sur son blog, McAfee a récemment écrit une entrée concernant DarkLeech :
https://blogs.mcafee.com/mcafee-labs/se ... k-iframes/

Il est toujours actif, le script utilisé pour rediriger les internautes est plus sophistiqué.
Darkleech_script_offusque.png
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

Revenir à « Actualité & News Informatique »