adnetworkperformance/tradeadexchange : malvertising

Ca faisait longtemps que je n’avais pas posté une campagne de malvertising, même si celle-ci reste fréquente, notamment dernièrement pour pousser le ransomware TeslaCrypt
Cette fois-ci ce ne sont pas les réseaux publicitaires PopAds, PopCash ou Adsterra qui sont touchés, mais les réseaux adnetworkperformance et tradeadexchange qui sont liés à AdCash.
J’ai eu la malvertising sur Uptobox, elle doit donc toucher beaucoup d’utilisateurs, ces deux réseaux publicitaires étant assez répandus : adnetworkperformance.com a un rank de 86 et tradeadexchange.com a un rank de 186 sur Alexa.
Comme d’habitude, ce sont plutôt les sites illégaux qui sont visés.

Pour rappel, les malvertising sont des publicités malicieux qui ont pour but de rediriger vers du traffic malicieux, notamment un Web Exploit.

Tweet au 1er mars :
malvertising_adnetworkperformance_tradeadexchage

2 jours plus tard :
malvertising_adnetworkperformance_tradeadexchage_2Dans la capture, précédente, on constate l’injection du processus explorer.exe
La détection du binaire est mauvaise  : http://malwaredb.malekal.com/index.php?hash=6b42d7467b1a8929b43f9e8006a0e323

SHA256: 7788c1aeea4a50d4740b93c44a8d8837e996d983c677883be07df3331d82d2f7
Nom du fichier : B30B.tmp
Ratio de détection : 3 / 55
Date d’analyse : 2016-03-03 10:31:06 UTC (il y a 34 minutes)
Antivirus Résultat Mise à jour
Bkav HW32.Packed.68B7 20160302
McAfee-GW-Edition BehavesLike.Win32.PWSZbot.fh 20160303
Qihoo-360 QVM07.1.Malware.Gen 20160303

La détection du binaire du 1er mars, 2 jours plus tard, que des détections génériques : http://malwaredb.malekal.com/index.php?hash=344e17a68f83e1e51be7e93b0552f71d

SHA256: 47cb0c079243a1bf8b9294ed8f82dc7641e3a31590dc63e59dfb629a8b140b35
Ratio de détection : 8 / 56
Date d’analyse : 2016-03-01 17:03:04 UTC (il y a 1 jour, 18 heures)
Antivirus Résultat Mise à jour
Avira (no cloud) TR/Crypt.ZPACK.231764 20160301
Bkav HW32.Packed.9F4F 20160301
ESET-NOD32 Win32/TrojanDownloader.Agent.BXE 20160301
Kaspersky UDS:DangerousObject.Multi.Generic 20160301
McAfee-GW-Edition BehavesLike.Win32.PWSZbot.fh 20160301
Qihoo-360 HEUR/QVM07.1.Malware.Gen 20160301
Rising PE:Malware.XPACK/RDM!5.1 [F] 20160301
Sophos Mal/Generic-S

Le malware est facilement identifiable sur un rapport FRST, via l’analyse du site http://pjjoint.malekal.com
La clef Run de lancement apparaît en rouge.

malvertising_adnetworkperformance_tradeadexchage_3

Il s’agit ici d’un Trojan Stealer qui va tenter de voler toute information utile sur l’ordinateur.
Je n’ai pas le nom de la famille avec certitude, peut-être un Ursnif, dans ce cas, il s’agit d’un Trojan Banker

Ces infections sont faciles à éviter, si vous suivez les directives minimales de sécurité, à savoir maintenir ses programmes à jour, pour plus d’informations : Comment sécuriser son ordinateur ?

EDIT – D’autres réseaux publicitaires touchés

Voir ces tweets, on retrouve la même classe d’IP pour cette campagne : https://twitter.com/malekal_morte/status/707317718647750657

(Visité 110 fois, 1 visites ce jour)

Vous pouvez aussi lire...

Vous pouvez lire les articles et tutoriels suivants en rapport avec cette page :
Les virus sur les sites de streamingFAQ Licence Windows 10

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com