Exemple d’une Malvertising sur OpenX

Le 26 Février, soit presque 2 mois, j’ai été en copie d’un mail envoyé par Kafeine d’un incident concernant des malvertising.
Il s’agit ici d’une régie publicitaire dont le programme publicitaire (openx) a été piraté afin d’opérer des redirections vers un Web Exploit et infecter l’ordinateur des visiteurs.

L’incident initial :

publihebdos_malvertising_fevrier

et à l’instant…
publihebdos_malvertising_avril

Le binaire lancé sur l’ordinateur par le Web Exploit :

publihebdos_malvertising_avril_2


publihebdos_malvertising_avril_3

Bien entendu à la sortie, le malware est mal détecté :

SHA256: f26db5d1321e5e49400e5d21d916f6d28375077280d0114c1fde8667ad7b8465
Nom du fichier : 2222.tmp
Ratio de détection : 4 / 56
Date d’analyse : 2016-04-13 10:57:56 UTC (il y a 1 minute)
Antivirus Résultat Mise à jour
Baidu Win32.Trojan.WisdomEyes.151026.9950.9999 20160412
McAfee-GW-Edition BehavesLike.Win32.PWSZbot.cc 20160413
Qihoo-360 QVM20.1.Malware.Gen 20160413
Rising PE:Malware.XPACK/RDM!5.1 [F] 20160413

Les malwares poussés sont de type Trojan Banker.

On voit aussi toutes les difficultés pour les régies publicitaires de nettoyer leurs serveurs, les cybercriminels étant assez ingénieux.
Openx étant très visé, car très utilisé et ayant pas mal de soucis de sécurité.
J’avais d’ailleurs fait un article sur un cas d’un openx compromis : [en] OpenX Hacks example (malvertising)

Pour être protégé contre ces infections, vous devez maintenir vos logiciels à jour et notamment les plugins de vos navigateurs WEB.
Plus d’informations sur la sécurité de votre ordinateur, sur la page : Sécuriser Windows.

EDIT – 9 jours plus tard – toujours active

publihebdos_EK

(Visité 118 fois, 1 visites ce jour)

Vous pouvez aussi lire...