Les internautes sont redirigés vers de fausses pages de mises à jour Flash de type InstallCore.
Au bout du compte ce sont des installations de programmes parasites / Adwares.
Environ 20 000 sites auraient été touchés depuis le début de la campagne qui a débuté en août 2015.
Un code JavaScript est injecté sur les pages du WordPress compromis :
Les redirections mènent vers l'adresse IP 91.226.33.54:
c11.n4.i.teaserguide.com
i.illuminationes.com
c11n4.i.teaserguide.com
kfc.i.illuminationes.com
kfc.i.teaserguide.com
xn--c11n4-ix3b.i.teaserguide.com
xn--kfc-rp0a.i.illuminationes.com
c114.i.teaserguide.com
rm3a.r.mega-us-pills.ws
La redirection finale oriente vers une fausse page de mise à jour Flash de type InstallCore. Un exécutable nommé "Adobe Flash Player.exe" est alors proposé. S'il est exécuté, il lancera l'installation de programmes parasites / Adwares.
Répartition géographique de la campagne:
J'en profite pour signaler que ces fausses pages de mise à jour Flash ont perdu de leur intensité en France, notamment par le fait que la régie de publicité Adcash a fait du ménage, en grande partie suite à la mise à jour des règles de filtrages de Google SafeBrowsing. Aux USA, ces fausses pages de mise à jour Flash sont encore assez actives à cause de diverses régies publicitaires dont AdsTerra network.
Parmi les règles élémentaires à suivre :
- Maintenir WordPress et toutes les extensions à jour
- Faire des sauvegardes automatiques et manuelles