Nuclear Exploit Kit (Nuclear EK)

L'actualité & News Informatique!
Donc pas de demande d'aide dans cette partie.
Malekal_morte
Messages : 116304
Inscription : 10 sept. 2005 13:57

Nuclear Exploit Kit (Nuclear EK)

par Malekal_morte »

Une page autour de l'actualité de Nuclear Exploit Kit (EK). Ce kit est apparu en 2010, il s'agit d'un des trois Web Exploit Kit les plus utilisés avec Angler Exploit Kit et Magnitude Exploit Kit.

Si vous n'avez aucune idée de la nature de ce sujet, lire la page : les attaques Drive-By Download et Les Web ExploitKit.

Pendant l'écriture de cet article, je songe à ces régies publicitaires piégées actives depuis février 2016 qui n'ont jamais été nettoyées depuis tout ce temps. Lire le sujet OpenX : Malvertising qui conduit à des kits Nuclear EK.

Image
Image

Talos ( Intel ) a publié un article concernant une campagne de malvertising (publicités malicieuses) d'envergure via Nuclear Exploit Kit : http://blog.talosintel.com/2016/04/nuclear-exposed.html

Ces publicités malicieuses visent des sites pornographiques, ce qui est loin d'être nouveau, c'est même extrêmement populaire depuis 2012 avec les trojans Winlock (Virus Gendarmerie). Des sites comme xvideos, xhamster, pornerbros,.. ont déjà connus ça. J'en avais d'ailleurs détaillé quelques cas sur la page : [en] Some words about malvertisings in adult world

D'après Talos ( Intel ), la bannière publicitaire piégée aurait été affichée par 25 000 IPs uniques en un seul jour. En appliquant la géolocalisation IP aux IPs uniques, il a été déduit que la campagne Nuclear EK a été présente dans 150 pays et dans 10 000 villes dans le monde.

Image

Nuclear Exploit Kit vise plutôt l'Europe alors qu'Angler Exploit Kit vise plutôt les internautes américains.
Au niveau des langues utilisées, la France se place 4 ème.

Image

Par pays, la France est 6 ème.

Image

Sur les adresses referers, les deux premiers liens sont des régies publicitaires/traffic broker.

Image

On trouve notamment "viree-malin.fr" ( que je vais tenter de contacter )

Image

Image

80% des exploits visent Adobe Flash ( voir 0-day : Flash, Java, Microsoft )
Contrairement à Angler EK ou Rig EK, Microsoft SilverLight ne semble pas les intéresser.

Check Point a publié un document PDF sur l'infrastructure de Nuclear Pack:
https://blog.checkpoint.com/wp-content/ ... ar-1-2.pdf

Image

TDS signifie "Traffic Direction Systems" : il s'agit d'un outil qui redirige sur des contenus prédéfinis selon des règles basés sur l'environnement de l'internaute (langue, pays, versions, user-agent, referer, date/heure, logiciels installés, etc.. ) Un TDS est l'outil adéquat pour rediriger les internautes vulnérables vers des kits comme Nuclear EK.

Image

Panneau de gestion de Nuclear EK:

Image

Les statistiques des campagnes par pays de Check Point sont proches de celles de Talos.

Image

Le blog BroadAnalysis donne un exemple de campagne Nuclear EK qui diffuse TeslaCrypt - Virus RSA 4096.
cool-margaritajyxawd-top2.jpg
Sans réelle surprise, Nuclear EK tente de diffuser massivement des ransomwares et notamment le fameux Locky. Nous avions aussi publié une autre campagne ExploitKit : Campagne malicieuse Amedia / megaadvertize qui visait les CMS WordPress & Joomla. Au départ, ils utilisaient Nuclear EK puis sont passés à Angler EK

D'où nos préconisations depuis de longues années, maintenez vos programmes à jour.
Et plus globalement, essayez de sécuriser Windows.
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116304
Inscription : 10 sept. 2005 13:57

Re: Nuclear Exploit Kit (Nuclear EK)

par Malekal_morte »

Trojan Gootkit par Nuclear Exploit Kit Malvertising : https://twitter.com/malekal_morte/statu ... 7230389248
Nuclear_ExploitKit_malvertising_trafficholder.png
et...

+1 mois plus tard : Trafficholder Malvertising, Exploit Kit, Trojan et Ransomware

Image

Image
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116304
Inscription : 10 sept. 2005 13:57

Re: Nuclear Exploit Kit (Nuclear EK)

par Malekal_morte »

D'après Kafeine, Nuclear Pack semble avoir disparu le 30 avril 2016 : Is it the End of Angler ?
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

Revenir à « Actualité & News Informatique »