Malvertising : ero-advertising.com / TrafficHolder vers wowsexvideos.net

Une autre malvertising toujours sur des sites pornographiques.

Celle ci-dessous est distribuée par trafficholder.com qui possède d’autres malvertising : https://www.malekal.com/2012/05/09/malvertising-sur-drtuber-com-a-travers-trafficholder-com/
Je ne donnerai pas les détails  dans ce billet.

Celle-ci est distribuée par ero-advertising.com


trafficholder.com qui pub pour teenporn-tube.net (85.17.124.5 – LEASEWEB – NL)
Ce dernier est relativement récent :

Domain Name: TEENPORN-TUBE.NET
Registrar: DIRECTI INTERNET SOLUTIONS PVT. LTD. D/B/A PUBLICDOMAINREGISTRY.COM
Whois Server: whois.PublicDomainRegistry.com
Referral URL: http://www.PublicDomainRegistry.com
Name Server: NS30.TGPTRAFFICBIZNS.COM
Name Server: NS31.TGPTRAFFICBIZNS.COM
Status: clientTransferProhibited
Updated Date: 04-nov-2011
Creation Date: 19-oct-2011
Expiration Date: 19-oct-2012

puis popads.ero-advertising.com redirige vers wowsexvideos.net 
ce dernier contient une iframe qiu redirige vers trik-a.com/ss.php
qui charge un exploitkit à travers un javascript, ce dernier redirige vers kaj182.com 65.254.51.42

puis l’exploitkit charge le code malicieux.



Le malware au final peux être différent, on peux avoir du ransomware Fake Police type “Activite illicite Revélée

ou  le trojan Clicker  TrojanClicker:Win32/Clidak.A  : http://www3.malekal.com/malwares/index.php?hash=af1c94cbb4dcae3bf6fa7ba18559289d

 

Les Whois sur les domaines utilisés sont assez interressants.
On voit que WOWSEXVIDEOS.NET est récent :

Domain Name: WOWSEXVIDEOS.NET
Registrar: DOMAINCONTEXT, INC.
Whois Server: whois.domaincontext.com
Referral URL: http://www.domaincontext.com
Name Server: NS1.REGWAY.COM
Name Server: NS2.REGWAY.COM
Status: clientTransferProhibited
Updated Date: 08-may-2012
Creation Date: 08-may-2012
Expiration Date: 08-may-2013

Les informations donnés et notamment l’adresse email aussi :

Administrative Contact:
N/A
Ezaf Hsmit (kigajas@gmail.com)
Seprotshtrasse 84
Berlin,84163DE
Tel. +49.16094966279

Celle-ci est référencée dans un papier de Trend-Micro sur les ransomwares Fake Police
On en déduit donc que WOWSEXVIDEOS.NET a été enregistré pour cette campagne.

 

même chose pour Trik-a.com, ce dernier est relativement récent :

Domain Name: TRIK-A.COM
Registrar: DIRECTI INTERNET SOLUTIONS PVT. LTD. D/B/A PUBLICDOMAINREGISTRY.COM
Whois Server: whois.PublicDomainRegistry.com
Referral URL: http://www.PublicDomainRegistry.com
Name Server: NS1.LUXEMIL.COM
Name Server: NS2.LUXEMIL.COM
Status: clientTransferProhibited
Updated Date: 21-dec-2011
Creation Date: 21-dec-2011
Expiration Date: 21-dec-2012

 

L’adresse IP est interressante aussi :

trik-a.com has address 67.225.149.204

 

Celle-ci est référencée sur cette page : https://www.malekal.com/2012/03/25/trojan-clicker-a-travers-une-extension-firefox/

 

Le domaine est connu de Google Safe Browsing :

 

EDIT : 17 Mai

Le même genre depuis trafficholder.

http://www.trafficholder.com/in/in.php?free3&returl=http://www.freesexnavigator.com/?id=retth
http://hit.trafficholder.com/cgi-bin/traffic/process.fcgi?a=free3&n=&r=http%3A%2F%2Fwww.freesexnavigator.com%2F%3Fid%3Dretth
http://www.wanktubevideos.com/?id=1 (50.23.150.24)
http://viagranetguide.com/f/index.php?uri=xhamster.com/movies/1154162/russian_teenage_slut_in_hostel_p2.html&f=1

Le domaine est très récent (quelques jours) :

Domain Name: WANKTUBEVIDEOS.COM
Registrar: DIRECTI INTERNET SOLUTIONS PVT. LTD. D/B/A PUBLICDOMAINREGISTRY.COM
Whois Server: whois.PublicDomainRegistry.com
Referral URL: http://www.PublicDomainRegistry.com
Name Server: NS1.WANKTUBEVIDEOS.COM
Name Server: NS2.WANKTUBEVIDEOS.COM
Status: clientTransferProhibited
Updated Date: 06-may-2012
Creation Date: 06-may-2012
Expiration Date: 06-may-2013

 

Le site se fait passer pour xHamster (un autre site de streaming pornographique) et propose un faux plugin Adobe Flash :  http://www3.malekal.com/malwares/index.php?hash=8b22d32ac2eb6358b277ca00571779d2
C’est le malware présenté sur ce billet : Trojan Clicker à travers une extension Firefox

On retrouve aussi trik-a.com qui se connecte à l’ExploitKit :

(Visité 93 fois, 1 visites ce jour)

Vous pouvez aussi lire...