Malvertising sur dl-protect.com via hooqy.com et clicksor

dl-protect.com est un service qui permet de déposer des liens de téléchargement.
Cela permet de cacher le referer mais aussi de proposer un système de CAPTCHA contre les téléchargements automatisés.
Le service est utilisé par les sites de Warez/Streaming et autres pour proposer de télécharger des programmes, films etc.

De ce fait, cela peux toucher beaucoup de monde en témoigne le graphe alexa.com :

 

Le site conduit à une malvertising qui conduit à un exploit sur site WEB :


Le code habituel. Une image et une iframe qui conduit au BlackHole

La bannière malicieuse :


C’est en fait clicksor qui charge celle-ci :

Les liens BlackHole :

http://ads.hooqy.com/newServing/banner_frame.php?nid=1&pid=159185&sid=241812&zone=-1&image=3&adtype=1&key=8bea49e5152adb5a2d9dbd8496455335 (199.21.148.108)
http://totyballl.info/43bf6353ecaa0e20c9631bcb680ea963
http://untidy.alnilin.info/main.php?page=a306572deb323e11 (84.19.161.156)
http://untidy.alnilin.info/content/fdp1.php?f=27
http://untidy.alnilin.info/content/cph2.php?c=27
http://untidy.alnilin.info/content/v1.jar
http://untidy.alnilin.info/content/fdp1.php?f=27
http://untidy.alnilin.info/com.class
http://untidy.alnilin.info/content/fdp1.php?f=27
http://untidy.alnilin.info/w.php?f=27&e=3
http://untidy.alnilin.info/main.php?page=a306572deb323e11
http://untidy.alnilin.info/content/fdp1.php?f=27
http://untidy.alnilin.info/content/cph2.php?c=27
http://untidy.alnilin.info/com.class

Ici un exploit Java qui lance le payload :

 et une connexion à un serveur WEB 95.57.120.108

netname: IP_Fedinyak
descr: Fedinyak Sergey
descr: Co-location servers
descr: Karagandy
country: KZ

qui affiche la page relative au ransomware Virus Gendarmerie :

Au vu de l’audience de dl-protect, on peux s’attendre à une relance de la campagne du ransomware Virus Gendarmerie qui déjà en Décembre avait toujours environ 30k personnes.

A noter que l’adresse donnée pour hoqqy.com que l’on retrouve sur le site :

Administrative Contact:
Christophe, Alen webmaster@hooqy.com
 174 Skyway Avenue Toronto, Ontario M9W 2G2
Canada
4164772325 Fax —

pointe en plein milieu de la pampa :

 

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 203 times, 3 visits today)

4 thoughts on “Malvertising sur dl-protect.com via hooqy.com et clicksor

  1. Depuis ce matin mon ordinateur cherche à se connecter sur la page http://95.57.120.108
    Je l’ai aussitôt débranché de l’internet, mais il est impossible de l’utiliser car à chaque redémarrage il veut connecter à cette adresse et utilise tout l’écran pour cela et il n’est plus possible de sortir de ce plein écran. Je ne l’ai toujours pas rebranché sur internet, donc je ne sais pas ce que cette page devrait afficher.

    Merci pour toute aide.

  2. Je rectifie : je peux sortir avec l’ahabituel « Alt+F4 » mais mon bureau n’est pas affiché. En fait, rien ne s’affiche et la souri ne peut rien faire (ni clic gauche ni clic droit). La touche Windows qui normalement amène au menu de démarrage est également désactivée. Y a-t-il une manière de « nettoyer » ça par un démarrage en mode sans échec?

    Merci d’avance pour toute suggestion.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *