Malvertising : delivery.trafficbroker.com délivre ransomware « Activite illicite demelée »

Toujours pour suivre la campagne du ransomware « Activite illicite demelée », après pornbros une autre malvertising qui conduit à des exploits sur site WEB, cette fois-ci chez trafficbroken.com

traffricbroken.com a un ranking ~ 1400 sur Alexa.com

Bien entendu, la redirection malicieuse n’est pas systématique et dépend de la thématique du site visité (puisque les publicités peuvent différer d’un site à l’autre selon leur thématique).
En l’occurence dans le cas ici c’est bien sûr des sites pornographiques puisque le ransomware vise ces derniers.

Le site où j’ai récupéré la malvertisig est www.5ilthy.com avec un ranking environ de 15/20k

trafficbroker.com redirige vers le site michellesnylons.info

qui charge l’exploit sur site WEBhttp://harms.advertisinginfriscotx.com/sd3u1U?s=1

https://www.virustotal.com/latest-report.html?resource=6260c0901741bdd2e5db8d08f4c90af7e8793c05

SHA256: 5e8a1069106209d743db96a467cd0b34cca4977057bd6ef305dc63052b59d6fb
File name: 7c6c3cccbba8731d588966e34ae48bd0
Detection ratio: 5 / 41
Analysis date: 2012-04-21 16:09:32 UTC ( 41 minutes ago )
AntiVir    TR/Dropper.Gen    20120420
DrWeb Trojan.Siggen3.59726 20120421
McAfee Artemis!7C6C3CCCBBA8 20120421
McAfee-GW-Edition Artemis!7C6C3CCCBBA8 20120421
NOD32 a variant of Win32/Kryptik.AEMQ 20120421

 

En rejouant on tombre sur un second exploit qui conduit au même fichier :

Une publicité HQ Replica

et le domaine avec BlackHole :

TCP_MISS/200 19186 GET http://pwertmaruja.hopto.org/main.php?page=22d60c9a87becdf3 – DIRECT/176.58.97.203 text/html
TCP_MISS/200 3660 GET http://pwertmaruja.hopto.org/data/hhcp.php?c=1d360 – DIRECT/176.58.97.203 text/html
TCP_MISS/200 16952 GET http://pwertmaruja.hopto.org/data/ap1.php?f=1d360 – DIRECT/176.58.97.203 application/pdf
TCP_MISS/200 17984 GET http://pwertmaruja.hopto.org/Klot.jar – DIRECT/176.58.97.203 application/java-archive
TCP_MISS/200 139803 GET http://pwertmaruja.hopto.org/w.php?f=1d360&e=0 – DIRECT/176.58.97.203 application/x-msdownload
TCP_MISS/200 139803 GET http://pwertmaruja.hopto.org/w.php?f=1d360&e=3 – DIRECT/176.58.97.203 application/x-msdownload 

 

Il y a un second fichier sur un autre BlackHolehttp://www3.malekal.com/malwares/index.php?hash=12b9213c564602e4fe7deda551fce57b

SHA256: d14cb683a6f9faefc64a8d193eb1a382f94114fd12c73a06923add539f0ea8d9
File name: 12b9213c564602e4fe7deda551fce57b
Detection ratio: 4 / 42
Analysis date: 2012-04-21 15:27:03 UTC ( 1 heure, 32 minutes ago )
 AhnLab-V3 Trojan/Win32.Zbot 20120420
Fortinet W32/Kryptik.AB!tr 20120421
Kaspersky UDS:DangerousObject.Multi.Generic 20120421
Panda Suspicious file 20120421 

 

La page de désinfection du ransomware Activite illicite demélée : http://www.malekal.com/2012/01/10/virus-gendarmerie-activite-illicite-demelee/

Une étude du ransomware par SecuBox Labs qui télécharge en autre un stealer : http://secuboxlabs.fr/kolab/api?hash=2c9115fd1118299fa16ae180fde554c015a7633e 


Source http://www.securitycartoon.com

EDIT – 8 Mai 2012

La malvertising est toujours présente : http://www3.malekal.com/malwares/index.php?hash=a4fb792546028a4c96ea9a10a071e2f4

https://www.virustotal.com/file/2e08ccb5ed7dc3a34036eaf65fa893d46af06612d30480fe285ba5ad92e88b3d/analysis/1336480555/

SHA256: 2e08ccb5ed7dc3a34036eaf65fa893d46af06612d30480fe285ba5ad92e88b3d
File name: a4fb792546028a4c96ea9a10a071e2f4
Detection ratio: 2 / 42
Analysis date: 2012-05-08 12:28:18 UTC ( 10 minutes ago )

Fortinet W32/Kryptik.AB!tr 20120508
Kaspersky HEUR:Trojan.Win32.Generic 20120508

Malvertising sur porn.com

D’autre part une autre malvertising du même style est présente sur porn.com : http://www3.malekal.com/malwares/index.php?hash=2322021338158d30ca5549e182edcaab

porn.com a un rank de 600.

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 39 times, 1 visits today)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *