[Résolu] Question sur le typosquattage et drive-by download

[Kikuchiyo]

Bonjour à tous,

Il y a environ une semaine Il m'est arrivé une petite mésaventure à priori sans gravité. D'habitude je suis quelqu'un qui fait toujours très attention sur internet, j'utilise Firefox avec NoScript et je ne vais que sur des sites très connus et de confiance mais pour une fois j'étais sur Chrome avec le Javascript activé car je voulais tester Netflix sur ce navigateur, j'ai voulu taper netflix.com dans la barre de recherche de la page d’accueil de Chrome mais j'ai fait une faute de frappe et j'ai oublié un c à com, le problème c'est que même si on utilise la barre de recherche et que l'on tape un URL dedans, Chrome détecte que c'est un URL et nous dirige directement vers la page plutôt que de faire une recherche Google (alors qu'en utilisant la barre de recherche sur Firefox ce dernier fait toujours une recherche, même avec des URL).

Bref le résultat c'est que j'ai atterri sur un "parked domain" (je ne connais pas le terme en français) qui vise à se faire du fric grâce au typosquattage et j'ai été redirigé successivement vers deux liens de type zeroredirect (Zeropark, société de merde que l'auteur de ce site a déjà mentionné dans ses tweets) pour finalement atterrir sur une arnaque qui est décrite sur ce sujet du forum :

http://forum.malekal.com/arnaque-gagner ... 51261.html

Pour être plus précis j'ai eu droit à cette fausse page Google :

https://www.malekal.com/wp-content/uplo ... sation.png
https://www.malekal.com/fichiers/forum/ ... Google.png

Je n'ai pas eu de pop-up et c'était en anglais (j'imagine que la page détecte les options de langage de l'utilisateur pour rendre l'arnaque plus efficace) mais autrement c'était exactement la même chose et je suis presque sûr que le nom de domaine était le même que sur le premier screen.

J'étais bien conscient d'avoir fait une faute de frappe (malheureusement j'avais déjà appuyé sur entrée) et de toute façon l'arnaque était évidente donc j'ai rien cliqué sur la page et je n'ai appuyé sur aucune touche, j'ai juste fermé le navigateur et j'ai tout de suite vérifié si je n'avais pas choppé des saloperies, j'ai fait moi-même une analyse minutieuse avec les outils Sysinternals et Hijackthis, j'ai notamment vérifié les processus, les trucs qui se lancent au démarrage et l'activité réseau du PC, j'ai aussi fait un scan complet du DD avec Windows Defender, dans tous les cas je n'ai rien vu de suspect, Chrome marchait toujours normalement aussi mais par précaution j'ai quand même effacé tout l'historique (cache, cookies, etc.) et supprimé Chrome.

Aujourd'hui ça fait plus d'une semaine que c'est arrivé et tout marche normalement, je ne vois toujours aucun signe d'infection mais j'ai un doute qui persiste et ça me tracasse. En fait je me demande si rien qu'en atterrissant sur ce site louche je n'aurais pas choppé un malware par drive-by download. En tout cas si j'ai choppé un truc ça ne pourrait être qu'un rootkit qui arrive à masquer son activité vu que je ne vois absolument rien de suspect. Est-ce que je suis juste trop parano ou pas? Sachant que mon Windows 10 et mon Chrome (que j'avais installé quelques jours auparavant) étaient tous deux parfaitement à jour lorsque c'est arrivé, Windows Defender était aussi actif et à jour pour ce que ça vaut. L'auteur de ce site à l'air de bien connaitre ce genre d'arnaques donc c'est pour ça que je demande ici.

Désolé pour la longueur de mon message et merci d'avance pour vos éventuelles réponses.

[ѠOOT]

Bonjour,

En 30 passages sur le nom de domaine indiqué via plusieurs configurations ( os, browser, plugins... ) les redirections obtenues aboutissent à des résultats et itinéraires différents ( publicités / enquêtes / sondages / formulaires / ... ) mais aucun kit d'exploitation de vulnérabilités susceptibles de délivrer ( drive-by-download ) un code malveillant n'a été détecté. Ces parcours ne reflètent qu'un instant T et non ce qui a pu se produire la semaine précédente. Néanmoins, en l'absence de comportements anormaux sur la machine, il est raisonnable de penser qu'il n'y a pas lieu de s'inquiéter outre mesure.

[Kikuchiyo]

D'accord, merci beaucoup. J'ai aussi essayé de regarder sur Google Safe Browsing mais je n'ai trouvé des données que pour les domaines se finissant par rewards.club (qui sont visiblement le même type d'arnaque que ce que j'ai eu selon le sujet que j'ai posté plus haut) et apparemment il n'y a pas de malware qui a été détecté, c'est plutôt rassurant aussi. Au moins si j'utilise Chrome une prochaine fois je saurai que je dois faire attention avec la barre de recherche de la page d'accueil, à vrai dire je fais exprès de toujours passer par une recherche pour éviter ce genre de trucs mais je ne suis pas habitué à Chrome et je ne m'attendais pas à ça.

[Malekal_morte]

Salut,

yep, c'est ZeroPark qui charge la publicité malicieuse et qui est effectivement connue pour charger des publicités 'merdiques', ça va des arnaques de support téléphonique, arnaque 1 euro et InstallCore (FakeFlash).

Par contre, c'était déjà arrivé que ZeroPark redirige vers des exploits kits, exemple : http://malvertising.stopmalwares.com/20 ... u-network/

L'IP est complètement infestée de domaine de typosquattage - exemples : https://www.virustotal.com/fr/ip-addres ... formation/

Code : Tout sélectionner

2016-01-20 hrblock.om
2016-01-19 rossfbo.com
2016-01-17 prorevenge.reddit.om
2016-01-15 cbs.om
2016-01-14 dub122.mail.live.om
2016-01-11 www.etrade.om
2016-01-09 mbasic.facebookc.om
2016-01-09 web.skype.om
2016-01-07 cronulladenturecare.com.au
2016-01-07 soundcloud.om
2016-01-07 tmall.om
2016-01-07 weibo.om
2016-01-07 www.lowes.om
2016-01-06 intuit.om
2016-01-06 monsterc.om
2016-01-02 www.facebookc.om
2015-12-31 okcupid.om
2015-12-31 redteamwins.com.au
2015-12-28 leskinrepair.com
2015-12-27 norton.om
2015-12-21 www.staplesc.om
2015-12-20 lifeextensiondiscounts.com
2015-12-15 husars.com
2015-12-15 williamhill.om
2015-12-14 www.qvc.om
2015-12-09 msiclearprofits.com
2015-12-07 www.dropbox.om
2015-12-05 sylvaniawaters.com
2015-12-05 totalmobility.com.au
2015-12-03 www.progressive.om
2015-11-29 pinterest.om
2015-11-28 fiverr.om
2015-11-28 gilt.om
2015-11-28 jcpenney.om
2015-11-28 macys.om
2015-11-28 officedepot.om
2015-11-28 shutterfly.om
2015-11-28 spotify.om
2015-11-27 blackheathbaps.com
2015-11-27 eu.lef.org
2015-11-27 flickr.om
2015-11-27 hp.om
2015-11-27 qvc.om
2015-11-27 rebeccajack.com
2015-11-27 www.norton.om
2015-11-26 avg.om
2015-11-26 hulu.om
2015-11-26 rei.om
2015-11-25 digg.om
2015-11-25 etsy.om
2015-11-25 lufthansa.om
2015-11-25 usps.om
2015-11-25 www.chemidex.de
2015-11-24 verizonwireless.om
2015-11-22 southwesternclinicalpsychology.com.au
2015-11-21 arrowaustralia.com.au
2015-11-21 blog.reedfinancial.com.au
2015-11-21 myptm.com.au
2015-11-21 olivetreemedia.com.au
2015-11-21 oneshuteye.com
2015-11-21 staging.arrowaustralia.com.au
2015-11-21 uckg.org.au
2015-11-21 www.alpe.net.au
2015-11-21 www.arrowaustralia.com.au
2015-11-21 www.reedfinancial.com.au
2015-11-21 www.southerncommunitywelfare.org.au
2015-11-20 forwardtravel.com.au
2015-11-20 wandanippers.com.au
2015-11-19 cheaptickets.om
2015-11-17 vanguard.om
2015-11-15 ticketbo.com.au
2015-11-13 www.databalance.com
2015-11-12 campania.fids.it
2015-11-12 m.facebookc.om
2015-11-12 www.weibo.om
2015-11-11 hottopic.om
2015-11-06 lpce.com.au
2015-11-05 mapquest.om
2015-11-05 orbitz.om
2015-11-01 tee.psgs.com
2015-10-31 gnc.om
2015-10-30 www.bankofamerica.om
2015-10-30 www.sohu.om
2015-10-26 advancedskinrepair.com
2015-10-23 godaddy.om
2015-10-20 stubhub.om
2015-10-19 www.fedex.om
2015-10-12 theraincloud.com
2015-10-12 www.imagine.boston.gov
2015-10-12 www.mlb.om
2015-10-08 lifeextensioneurope.de
2015-10-08 www.globo.om
2015-10-07 starbucks.om
2015-10-05 facebookc.om
2015-10-01 it.nba.om
2015-09-30 digeratisolutions.com.au
2015-09-29 www.suntrust.om
2015-09-28 www.jcpenny.om
2015-09-26 ulindustryanalytics.com
2015-09-25 friuli-veneziagiulia.fids.it
2015-09-24 kokodatrackfoundation.org
2015-09-22 aboderenovations.com.au
2015-09-22 nswpssa.com
2015-09-16 reedfinancial.com.au
2015-09-16 www.usaa.om
2015-09-15 www.zillow.om
2015-09-13 woxo.blogspot.om
2015-09-10 fedex.om
2015-09-10 innovadex.com.br
2015-09-10 www.kokodatrackfoundation.org
2015-09-08 lastminute.om
2015-08-29 psvnfuse.psv.capitalone.om
2015-08-27 ww.youtube.om
2015-08-25 si.delta.om
2015-08-24 www.digg.om
2015-08-24 yahoomail.om
2015-08-21 bookingc.om
2015-08-17 freegiftregistry.co.nz
2015-08-14 dropbox.om
2015-08-14 ww9.facebookc.om
2015-08-11 aliexpress.om
2015-08-11 letstalkweather.ca
2015-08-07 adelaide-church.com
2015-08-07 biomechanicshealthcare.com.au
2015-08-07 christianfellowshiptours.com
2015-08-07 fisherpharmacy.co.uk
2015-08-07 newchurches.org.au
2015-07-30 airbnb.om
2015-07-28 www.ctrip.om
2015-07-28 www.fnac.om
2015-07-27 outlook.om
2015-07-27 www.github.om
2015-07-23 live.om
2015-07-20 wellsfargo.om
2015-07-17 gstreatsandkeeps.com
2015-07-17 www.statefarm.om
2015-07-15 www.aa.om
2015-07-14 gstreatsandkeeps.org
2015-07-13 zillow.om
2015-07-08 bankofamerica.om
5-06-30 letsmakeawebsite.com.au
2015-06-30 newegg.om
2015-06-30 sears.om
2015-06-26 deap.ca
2015-06-26 reddit.om
2015-06-26 sony.om
2015-06-25 as.om
2015-06-23 girlscoutsatl.org
2015-06-23 photobucket.om
2015-06-22 sipinternal.bt.om
2015-06-22 www.bt.om
2015-06-22 www.live.om
2015-06-22 www.pnc.om
2015-06-19 fb.om
2015-06-18 nationaltruckspares.com.au
2015-06-16 i.imgur.om
2015-06-16 liguria.fids.it
2015-06-15 cgthotessepresta.blogspot.om
2015-06-13 idclandscapes.com
2015-06-12 hotmail.om
2015-06-11 imgur.om
2015-06-11 www.foxnews.om
2015-06-11 www.hao123.om
2015-06-08 mlb.om
2015-06-08 ubs.om
2015-06-07 groupon.om
2015-06-05 lombardia.fids.it
2015-06-05 www.lufthansa.om
2015-06-04 rediff.om
2015-06-03 www.ups.om
2015-06-02 verizon.om
2015-05-31 bayv.cymru
2015-05-31 bayv.wales
2015-05-31 buyasyouview.cymru
2015-05-30 buyasyouview.wales
2015-05-29 usaa.om
2015-05-28 dailymotion.om

[Kikuchiyo]

Oui, le pire c'est que j'ai même trouvé une vidéo Youtube dans laquelle un mec de ZeroPark fait la présentation de son business illicite comme si c'était quelque chose de tout à fait normal, ils ont aussi un compte Twitter où l'on peut voir qu'ils participent à des conférences/expos aux US, je trouve ça dégoutant, il y a vraiment des gens sans aucune morale.

https://www.youtube.com/watch?v=v4YMyPahNOw

Et sinon tu penses que je risque quelque chose avec la page de hameçonnage Google sur laquelle j'ai atterri? Est-ce que dans la plupart des cas les effets des malwares sont visibles?

[Malekal_morte]

Non ça ne risque rien.

[Kikuchiyo]

Ok, merci.

[Malekal_morte]

de rien !