Une page autour de l'actualité de Nuclear Exploit Kit (EK). Ce kit est apparu en 2010, il s'agit d'un des trois Web Exploit Kit les plus utilisés avec Angler Exploit Kit et Magnitude Exploit Kit.
Si vous n'avez aucune idée de la nature de ce sujet, lire la page : les attaques Drive-By Download et Les Web ExploitKit.
Pendant l'écriture de cet article, je songe à ces régies publicitaires piégées actives depuis février 2016 qui n'ont jamais été nettoyées depuis tout ce temps. Lire le sujet OpenX : Malvertising qui conduit à des kits Nuclear EK.
Talos ( Intel ) a publié un article concernant une campagne de malvertising (publicités malicieuses) d'envergure via Nuclear Exploit Kit : http://blog.talosintel.com/2016/04/nuclear-exposed.html
Ces publicités malicieuses visent des sites pornographiques, ce qui est loin d'être nouveau, c'est même extrêmement populaire depuis 2012 avec les trojans Winlock (Virus Gendarmerie). Des sites comme xvideos, xhamster, pornerbros,.. ont déjà connus ça. J'en avais d'ailleurs détaillé quelques cas sur la page : [en] Some words about malvertisings in adult world
D'après Talos ( Intel ), la bannière publicitaire piégée aurait été affichée par 25 000 IPs uniques en un seul jour. En appliquant la géolocalisation IP aux IPs uniques, il a été déduit que la campagne Nuclear EK a été présente dans 150 pays et dans 10 000 villes dans le monde.
Nuclear Exploit Kit vise plutôt l'Europe alors qu'Angler Exploit Kit vise plutôt les internautes américains.
Au niveau des langues utilisées, la France se place 4 ème.
Par pays, la France est 6 ème.
Sur les adresses referers, les deux premiers liens sont des régies publicitaires/traffic broker.
On trouve notamment "viree-malin.fr" ( que je vais tenter de contacter )
80% des exploits visent Adobe Flash ( voir 0-day : Flash, Java, Microsoft )
Contrairement à Angler EK ou Rig EK, Microsoft SilverLight ne semble pas les intéresser.
Check Point a publié un document PDF sur l'infrastructure de Nuclear Pack:
→ https://blog.checkpoint.com/wp-content/ ... ar-1-2.pdf
TDS signifie "Traffic Direction Systems" : il s'agit d'un outil qui redirige sur des contenus prédéfinis selon des règles basés sur l'environnement de l'internaute (langue, pays, versions, user-agent, referer, date/heure, logiciels installés, etc.. ) Un TDS est l'outil adéquat pour rediriger les internautes vulnérables vers des kits comme Nuclear EK.
Panneau de gestion de Nuclear EK:
Les statistiques des campagnes par pays de Check Point sont proches de celles de Talos.
Le blog BroadAnalysis donne un exemple de campagne Nuclear EK qui diffuse TeslaCrypt - Virus RSA 4096.
Sans réelle surprise, Nuclear EK tente de diffuser massivement des ransomwares et notamment le fameux Locky. Nous avions aussi publié une autre campagne ExploitKit : Campagne malicieuse Amedia / megaadvertize qui visait les CMS WordPress & Joomla. Au départ, ils utilisaient Nuclear EK puis sont passés à Angler EK
D'où nos préconisations depuis de longues années, maintenez vos programmes à jour.
Et plus globalement, essayez de sécuriser Windows.
Nuclear Exploit Kit (Nuclear EK)
- Messages : 116304
- Inscription : 10 sept. 2005 13:57
Nuclear Exploit Kit (Nuclear EK)
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
- Messages : 116304
- Inscription : 10 sept. 2005 13:57
Re: Nuclear Exploit Kit (Nuclear EK)
Trojan Gootkit par Nuclear Exploit Kit Malvertising : https://twitter.com/malekal_morte/statu ... 7230389248
et...
+1 mois plus tard : Trafficholder Malvertising, Exploit Kit, Trojan et Ransomware
et...
+1 mois plus tard : Trafficholder Malvertising, Exploit Kit, Trojan et Ransomware
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
- Messages : 116304
- Inscription : 10 sept. 2005 13:57
Re: Nuclear Exploit Kit (Nuclear EK)
D'après Kafeine, Nuclear Pack semble avoir disparu le 30 avril 2016 : Is it the End of Angler ?
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.