Malvertising/Hack (?) redirige vers du Redkit (TitanPoker ads)

Vu en commentaire à l’instant, une personne qui rapporte avoir été infecté par Urausy sur le site alpha-romeo : http://www.malekal.com/2013/02/08/urausy-nouveau-skin-avec-logo-hadopi/#comment-6882
forum_alpha_romeo

Le site est ranké 60 en France sur Alexa.com forum_alpha_romeo2


A la visite, une popup de pub TitanPoker.
Cette popup était aussi présente sur le site chartsinfrance et redirige vers l’exploitkit à la fermeture : http://www.malekal.com/2013/01/29/chartsinfrance-net-hacke/

forum_alpha_romeo3
Java qui se lance : forum_alpha_romeo4
pour executer le dropper : https://www.virustotal.com/fr/file/2b63c5fb29dba8d06fa3ffa05bfcdfd4443e5f415732895620e66f07c7f4807a/analysis/1361887612/

SHA256: 2b63c5fb29dba8d06fa3ffa05bfcdfd4443e5f415732895620e66f07c7f4807a
Nom du fichier : 4X7PVHK.exe
Ratio de détection : 5 / 45
Date d’analyse : 2013-02-26 14:06:52 UTC (il y a 0 minute)

AhnLab-V3      Trojan/Win32.Zbot      20130226
ESET-NOD32 probably a variant of Win32/Injector.ADIB 20130226
Fortinet W32/EncPk.AFN!tr 20130226
Kaspersky Trojan.Win32.Inject.femx 20130226
McAfee PWS-Zbot-FALF!4A9FA1A4D784 20130226
forum_alpha_romeo5

La redirection vers l’exploitkit Redkit (http://aacomputersusa.com/ctuf.html et http://popular.whoreforall.com/ctuf.htm) se fait à partir de l’url http://router.org/ (67.23.251.12)
Le domaine est vieux et les informations sont masquées (ce qui est un tantinet louche).
forum_alpha_romeo6

La redirection vers router.org depuis le site alfaromeo-online.com forum_alpha_romeo7
C’est exactement la même campagne que sur chartsinfrance.net (http://www.malekal.com/2013/01/29/chartsinfrance-net-hacke/).
Je vais aller poster sur le forum pour les prévenir en espérant avoir plus d’informations (sur chartsinfrance.net ils n’étaient pas très bavards), voir si c’est un hack sous couvert d’une publicité ou une malvertising.
Il y a beaucoup d’IP Board à chaque fois qu’il semble être touché.

EDIT 2 Mars

Résolu, ca semble donc être un hack qui se fait passer pour une publicité.

alfa-rome_hack

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 15 times, 1 visits today)

2 thoughts on “Malvertising/Hack (?) redirige vers du Redkit (TitanPoker ads)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *