Si vous n'avez aucune idée de la nature de ce sujet, lire la page : les attaques Drive-By Download et Les Web ExploitKit.
Pendant l'écriture de cet article, je songe à ces régies publicitaires piégées actives depuis février 2016 qui n'ont jamais été nettoyées depuis tout ce temps. Lire le sujet OpenX : Malvertising qui conduit à des kits Nuclear EK.
Talos ( Intel ) a publié un article concernant une campagne de malvertising (publicités malicieuses) d'envergure via Nuclear Exploit Kit : http://blog.talosintel.com/2016/04/nuclear-exposed.html
Ces publicités malicieuses visent des sites pornographiques, ce qui est loin d'être nouveau, c'est même extrêmement populaire depuis 2012 avec les trojans Winlock (Virus Gendarmerie). Des sites comme xvideos, xhamster, pornerbros,.. ont déjà connus ça. J'en avais d'ailleurs détaillé quelques cas sur la page : [en] Some words about malvertisings in adult world
D'après Talos ( Intel ), la bannière publicitaire piégée aurait été affichée par 25 000 IPs uniques en un seul jour. En appliquant la géolocalisation IP aux IPs uniques, il a été déduit que la campagne Nuclear EK a été présente dans 150 pays et dans 10 000 villes dans le monde.
Nuclear Exploit Kit vise plutôt l'Europe alors qu'Angler Exploit Kit vise plutôt les internautes américains.
Au niveau des langues utilisées, la France se place 4 ème.
Par pays, la France est 6 ème.
Sur les adresses referers, les deux premiers liens sont des régies publicitaires/traffic broker.
On trouve notamment "viree-malin.fr" ( que je vais tenter de contacter )
80% des exploits visent Adobe Flash ( voir 0-day : Flash, Java, Microsoft )
Contrairement à Angler EK ou Rig EK, Microsoft SilverLight ne semble pas les intéresser.
Check Point a publié un document PDF sur l'infrastructure de Nuclear Pack:
→ https://blog.checkpoint.com/wp-content/ ... ar-1-2.pdf
TDS signifie "Traffic Direction Systems" : il s'agit d'un outil qui redirige sur des contenus prédéfinis selon des règles basés sur l'environnement de l'internaute (langue, pays, versions, user-agent, referer, date/heure, logiciels installés, etc.. ) Un TDS est l'outil adéquat pour rediriger les internautes vulnérables vers des kits comme Nuclear EK.
Panneau de gestion de Nuclear EK:
Les statistiques des campagnes par pays de Check Point sont proches de celles de Talos.
Le blog BroadAnalysis donne un exemple de campagne Nuclear EK qui diffuse TeslaCrypt - Virus RSA 4096.
Sans réelle surprise, Nuclear EK tente de diffuser massivement des ransomwares et notamment le fameux Locky. Nous avions aussi publié une autre campagne ExploitKit : Campagne malicieuse Amedia / megaadvertize qui visait les CMS WordPress & Joomla. Au départ, ils utilisaient Nuclear EK puis sont passés à Angler EK
D'où nos préconisations depuis de longues années, maintenez vos programmes à jour.
Et plus globalement, essayez de sécuriser Windows.
