adnetworkperformance/tradeadexchange : malvertising

Ca faisait longtemps que je n’avais pas posté une campagne de malvertising, même si celle-ci reste fréquente, notamment dernièrement pour pousser le ransomware TeslaCrypt
Cette fois-ci ce ne sont pas les réseaux publicitaires PopAds, PopCash ou Adsterra qui sont touchés, mais les réseaux adnetworkperformance et tradeadexchange qui sont liés à AdCash.
J’ai eu la malvertising sur Uptobox, elle doit donc toucher beaucoup d’utilisateurs, ces deux réseaux publicitaires étant assez répandus : adnetworkperformance.com a un rank de 86 et tradeadexchange.com a un rank de 186 sur Alexa.
Comme d’habitude, ce sont plutôt les sites illégaux qui sont visés.

Pour rappel, les malvertising sont des publicités malicieux qui ont pour but de rediriger vers du traffic malicieux, notamment un Web Exploit.

Tweet au 1er mars :
malvertising_adnetworkperformance_tradeadexchage

2 jours plus tard :
malvertising_adnetworkperformance_tradeadexchage_2Dans la capture, précédente, on constate l’injection du processus explorer.exe
La détection du binaire est mauvaise  : http://malwaredb.malekal.com/index.php?hash=6b42d7467b1a8929b43f9e8006a0e323

SHA256:7788c1aeea4a50d4740b93c44a8d8837e996d983c677883be07df3331d82d2f7
Nom du fichier :B30B.tmp
Ratio de détection :3 / 55
Date d’analyse :2016-03-03 10:31:06 UTC (il y a 34 minutes)
AntivirusRésultatMise à jour
BkavHW32.Packed.68B720160302
McAfee-GW-EditionBehavesLike.Win32.PWSZbot.fh20160303
Qihoo-360QVM07.1.Malware.Gen20160303

La détection du binaire du 1er mars, 2 jours plus tard, que des détections génériques : http://malwaredb.malekal.com/index.php?hash=344e17a68f83e1e51be7e93b0552f71d

SHA256:47cb0c079243a1bf8b9294ed8f82dc7641e3a31590dc63e59dfb629a8b140b35
Ratio de détection :8 / 56
Date d’analyse :2016-03-01 17:03:04 UTC (il y a 1 jour, 18 heures)
AntivirusRésultatMise à jour
Avira (no cloud)TR/Crypt.ZPACK.23176420160301
BkavHW32.Packed.9F4F20160301
ESET-NOD32Win32/TrojanDownloader.Agent.BXE20160301
KasperskyUDS:DangerousObject.Multi.Generic20160301
McAfee-GW-EditionBehavesLike.Win32.PWSZbot.fh20160301
Qihoo-360HEUR/QVM07.1.Malware.Gen20160301
RisingPE:Malware.XPACK/RDM!5.1 [F]20160301
SophosMal/Generic-S

Le malware est facilement identifiable sur un rapport FRST, via l’analyse du site http://pjjoint.malekal.com
La clef Run de lancement apparaît en rouge.

malvertising_adnetworkperformance_tradeadexchage_3

Il s’agit ici d’un Trojan Stealer qui va tenter de voler toute information utile sur l’ordinateur.
Je n’ai pas le nom de la famille avec certitude, peut-être un Ursnif, dans ce cas, il s’agit d’un Trojan Banker

Ces infections sont faciles à éviter, si vous suivez les directives minimales de sécurité, à savoir maintenir ses programmes à jour, pour plus d’informations : Comment sécuriser son ordinateur ?

EDIT – D’autres réseaux publicitaires touchés

Voir ces tweets, on retrouve la même classe d’IP pour cette campagne : https://twitter.com/malekal_morte/status/707317718647750657

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 53 times, 1 visits today)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *