Les noms Admedia / megaadvertize proviennent des noms utilisés dans les URLs des redirections.Pour ceux qui ne connaitraient pas encore, le principe des Web Exploit, il s'agit de kit (ou programme) qui permet l'infection de l'ordinateur de manière automatique et transparente par la simple visite d'un site WEB. Le Web ExploitKit est chargé en fond et va pouvoir télécharger et installer un malware sur l'ordinateur en tirant partie de vulnérabilités présentes sur les les logiciels installés et notamment les plugins des navigateurs WEB comme Flash, Java ou Silverlight par exemple. D'où l'importance de tenir à jour ses programmes installés. Angler WebExploit Kit est un de ces Kits. La vidéo suivante vous montre l'infection d'un ordinateur par un Angler EK, via l'exploitation d'une vulnérabilité sur Silverlight
Initialement, c'est le nom "Admedia" qui a été utilisé, puis actuellement a été ajouté "megaadvertize".
La campagne a été médiatisé par la société Sucuri le 1er février 2016 dans un billet intitulé Massive Admedia/Adverting iFrame Infection. La redirection utilisait un autre kit d'exploitation nommé "Nuclear Exploit Kit" qui diffusait à l'époque le rançongiciel chiffreur de fichiers TeslaCrypt. Au niveau timing, ça correspondait pile au passage de la campagne TeslaCrypt diffusée via des emails malicieux avec Web Exploitkit.
La société MalwareBytes a aussi communiquée sur l'évènement : WordPress Compromise Campaign: From Nuclear EK To Angler EK.
Le code se trouve sur la page "jquery.js" dont voici la ridicule détection :
AVG le détecte en HTML/Framer :SHA256: 6f132f89f8102aed0d550c5530266e307d35c85fa7c14af81c932e866f800e45
Nom du fichier : jquery.js
Ratio de détection : 2 / 55
Antivirus Résultat Mise à jour
AVG HTML/Framer 20160220
Microsoft VirTool:JS/Obfuscator.HO 20160220
Il est interessant de noter la présence d'un mécanisme qui filtre les navigateurs : seuls les internautes qui utilisent l'ex-navigateur de Microsoft, à savoir Internet Explorer, sont redirigés vers le dangereux contenu des pages megaadvertize.
Sur les megaadvertize, un deuxième filtre va tester la résolution d'écran.
SHA256: fcf194f535e9ccea121bdac13dd424cf9df8f2b69b606ce1d788c11ccf0ad48f
Nom du fichier : script.txt
Ratio de détection : 5 / 54
Date d'analyse : 2016-02-20 09:40:20 UTC (il y a 10 minutes)
Antivirus Résultat Mise à jour
Cyren JS/AdmedCrypt.A.gen 20160220
F-Prot JS/AdmedCrypt.A.gen 20160220
McAfee-GW-Edition BehavesLike.HTML.ExploitBlacole.xr 20160220
Microsoft Exploit:JS/Axpergle 20160220
NANO-Antivirus Trojan.Script.Heuristic-js.iacgm 20160220
La redirection vers l'adresse d'Angler conduit à l'installation de TeslaCrypt.
Comme il n'y a pas de petit profit, la redirection va aussi charger une publicité.
Il y a deux choses qui retiennent mon attention :
Cette campagne ne vise QUE les utilisateurs d'Internet Explorer : Angler ExploitKit possède des filtres et ne visent qu'Internet Explorer depuis environ deux ans. Les utilisateurs de Mozilla Firefox et Google Chrome ne peuvent normalement pas être infectés. Reste que les mises à jour des logiciels installés est primordiale, on ne cessera jamais de le répéter.
Il est très important de veiller à maintenir son site à jour :
Pour plus d'informations : Apache : sécuriser son site + site web et Javascript malicieux
Ces sites, non maintenus, constituent à ce jour un terreau fertile pour les criminels et les conséquences se ressent partout à travers le monde puisqu'il y a une augmentation constante de victimes liés à des rançongiciels, notamment concernant TeslaCrypt. Ces afflux d'argents seront en partie ré-investi dans de futures campagnes mais peuvent également contribuer à financer des actions d'un tout autre genre. NE PAYEZ JAMAIS !