Fake Flash Player par Hack WordPress => Backdoor.Andromeda (AutoIT)

Il y a quelques jours, j’ai eu un sujet virus gendarmerie où la personne clamait avoir choppé cela après un téléchargement depuis un site WEB : http://forum.malekal.com/virus-interpol-agence-nationale-secu-t45704.html#p359076

Lors de la visite sur le site web, on se trouve avec une message « Flash Player required for this website, click Download NOW » – la proposition de téléchargement d’un flash player.

Fake_FlashPlayer_Ransomware

La redirection est opérée par le chargement d’un Javascript tiers très probablement dû à un hack – ici vers : http://spiritwindchurch.net/wp-admin/cBaDpNdb.php?id=49495196 (50.63.46.1)
3 @ VT : https://www.virustotal.com/fr/url/f4ddd729976d20c70d4fb8ee2070196dc13abc4dc6a0119f48d23abb15459e9d/analysis/1386318325/

Le malware est une Backdoor.Andromeda en AutoIT.

L’encart semble être une repompe de survey de Adscendmedia.

Fake_FlashPlayer_Ransomware2

Hier un second sujet : http://forum.malekal.com/fausse-mise-jour-flash-player-vers-v12-t44087-15.html#p359662 qui conduit à la même chose.
fakeflashplayer_hack2cette fois le javascript se trouve à l’adresse http://waysidegrill.com/_NEW/E6nl0QnR.php?id=63111047 (69.195.124.99)
0 @ VT : https://www.virustotal.com/fr/url/48de150a7e51a1ab3b7898c083e9a21ab73d18d81409b76924409db084ebd7c3/analysis/1386317363/

Le Malware obtenu est aussi une Backdoor.Andromeda : http://malwaredb.malekal.com/index.php?hash=798add77da5ecad5ba1e7848f81d7517

fakeflashplayer_hack

Le téléchargement du malware se fait depuis le Cloud Microsoft :

Fake_FlashPlayer_Andromeda

Une campagne assez silencieuse, et au vu des détections assez mauvaises qui peux faire mal.

Pour les propriétés de WordPress qui ont vu leur site hacké, je ne peux que vous renvoyer sur cette page : http://www.malekal.com/2011/09/03/securiser-wordpress/

EDIT – Janvier 29

Toujours actif : https://www.virustotal.com/fr/file/98203851eb03598850bf958c61f85c3fd68079328ca07e509946dc8e31f3d024/analysis/1390982784/

fakeflash_hack

il semble y avoir une poussée confirmée par F-Secure et TrustWave :
http://blog.spiderlabs.com/2014/01/beware-bats-hide-in-your-jquery-.html
http://www.f-secure.com/weblog/archives/00002659.html

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 64 times, 1 visits today)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *