PSW.Win32.Tepfer – vol FTP et injection/hack de sites

Je survolais la maillinglist d’OVH – quand le message suivant m’a interpelé :

suivi du message suivant :

 

Ceci m’a fait penser au topic suivant : http://forum.malekal.com/sites-web-hackes-via-iframe-vpn-sniffage-t38819.html

Du coup j’ai loadé l’infection, ce qui nous donne :

TCP_MISS/302 431 GET http://luditla.ru/count20.php – DIRECT/50.88.174.84 –
TCP_MISS/200 12715 GET http://79.96.76.203/99960006.html – DIRECT/79.96.76.203 text/html
TCP_MISS/200 11576 GET http://79.96.76.203/33256.jar – DIRECT/79.96.76.203 application/java-archive
TCP_MISS/200 11576 GET http://79.96.76.203/33256.jar – DIRECT/79.96.76.203 application/java-archive
TCP_MISS/200 22498 GET http://79.96.76.203/3.html – DIRECT/79.96.76.203 application/octet-stream
TCP_MISS/200 42079 GET http://ycallier.com/152469.html – DIRECT/213.186.33.87 application/octet-stream
TCP_MISS/200 186386 GET http://ycallier.com/152469.html – DIRECT/213.186.33.87 application/octet-stream
TCP_MISS/200 364562 GET http://ycallier.com/152469.html – DIRECT/213.186.33.87 application/octet-stream
TCP_MISS/200 490562 GET http://ycallier.com/152469.html – DIRECT/213.186.33.87 application/octet-stream
TCP_MISS/200 986 GET http://ycallier.com/152469.html – DIRECT/213.186.33.87 text/html
TCP_MISS/200 771 GET http://promos.fling.com/geo/txt/city.php – DIRECT/208.91.207.10 text/html
TCP_MISS/404 270 GET http://112.121.178.189/api/urls/?ts=db16f35e&affid=56300 – DIRECT/112.121.178.189 text/html
TCP_MISS/200 870814 GET http://ykocnar.ru/newm003.exe – DIRECT/194.12.95.82 –
TCP_MISS/200 1064 GET http://ycallier.com/152469.html – DIRECT/213.186.33.87 text/html
TCP_DENIED/411 2317 GET NONE:// – NONE/- text/html
TCP_MISS/200 1064 GET http://ycallier.com/152469.html – DIRECT/213.186.33.87 text/html
TCP_MISS/200 263 GET http://112.121.178.189/api/stats/install/?ts=db16f35e&affid=56300&ver=3060001&group=liv – DIRECT/112.121.178.189 text/html
TCP_MISS/200 418 GET http://ycallier.com/152469.html – DIRECT/213.186.33.87 text/html
TCP_MISS/200 986 GET http://ycallier.com/152469.html – DIRECT/213.186.33.87 text/html
TCP_MISS/504 1709 GET http://enbcmdte.cn/4290849764?w=603&i=2409640261&v=2.5 – DIRECT/enbcmdte.cn text/html
TCP_MISS/200 1064 GET http://ycallier.com/152469.html – DIRECT/213.186.33.87 text/html
TCP_MISS/200 1064 GET http://ycallier.com/152469.html – DIRECT/213.186.33.87 text/html
TCP_MISS/200 1064 GET http://ycallier.com/152469.html – DIRECT/213.186.33.87 text/html
TCP_MISS/200 1064 GET http://ycallier.com/152469.html – DIRECT/213.186.33.87 text/html
TCP_MISS/504 1709 GET http://enbcmdte.cn/4290549499?w=603&i=2409640261&v=2.5 – DIRECT/enbcmdte.cn text/html
TCP_MISS/200 1085 GET http://ycallier.com/152469.html – DIRECT/213.186.33.87 text/html

On retrouve le même schéma que la dernière fois, à savoir un redirect en count??.php qui charge une url avec une IP et une page html.
C’est l’Exploit Kit Redkit. Ce dernier charge du Trojan.Karagany – la caratéristique actuelle étant l’execution de fichiers de type %TEMP%/~!#3.tmp %TEMP%/~!#5.tmp
L’ironie ici est qu’on a aussi des connexions vers 213.186.33.87 qui est chez OVH.

Les détections des binaires sont assez moisies, bref comme d’habitude.
Cette dernière charge en autre le scareware du moment Live Security Platinum

Par contre la détection Kaspersky a attiré mon attention PSW.Win32.Tepfer (http://www3.malekal.com/malwares/index.php?hash=3484101a85e8cde0dd6bb09034549f81)car j’en parlais déjà là : http://forum.malekal.com/sites-web-hackes-via-iframe-vpn-sniffage-t38819.html
PSW (Password) est le prefixe des stealers qui cible les mots de passe.

Les strings en mémoires de PSW.Win32.Tepfe sont sans appel – on voit bien qu’il cible les clients FTP :

La transmission des données volées se fait par un POST HTTP dans notre cas :
TCP_MISS/200 268 POST http://mitsuakimurata.com/i.php – DIRECT/98.131.95.95 text/html

 

Il y a donc de grandes chances ici que l’on se retrouve avec le même principe que par le passé avec par exemple PWS.Win32.Daurso.A  – voir le billet : http://forum.malekal.com/hack-web-site-par-vol-ftp-t22837.html
Où les victimes des infections alimentent l’infection par le vol de compte FTP et la modification des sites WEB via un ajout de Javascript pour infecter de nouvelles victimes.

A noter que le malware n’est pas résident, c’est du one shot, c’est à dire qu’il ne tente pas de s’installer dans le système pour se relancer à chaque démarrage.
Même si le scareware n’est pas discret, on ne va pas forcément s’attendre à un vol de compte FTP pour modifier le site.
Néanmoins par sécurité, un scan Malwarebyte est le bienvenue, modifier tous les mots de passe FTP aussi.

Encore une fois, le service FTP est très ciblé, il est recommandé de filtrer au maximum les connexions et de l’ouvrir que pour les IPs qui ont vraiment besoin de s’y connecter.

 EDIT – 21 Juillet

Se reporter à la page suivante.

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 61 times, 1 visits today)

2 thoughts on “PSW.Win32.Tepfer – vol FTP et injection/hack de sites

  1. Hi Mak,

    La configuration Tepfer est située à la fin du fichier.
    Elle commence généralement par la chaine « [-config-] »
    Ici, nous observons « osx}wkusow~kxk2mqo1s2|t| »
    Si on SUB de 7 et qu’on XOR de 5, on obtient:
    – « mitsuakimurata.com/i.php »

    Requête en méthode POST avec:
    ?num=lnbosqjczalj ( valeur fixe )
    &buffer=… ( données encodées )
    &option=g ( valeur fixe )

    Côté serveur, le script PHP réalise une simple écriture dans le fichier de sortie « i.log ». Il y a eu 5069 requêtes sur cette page pour ce début de mois mais le fichier « i.log » contenait seulement 5 lignes.

  2. Merci Malekal pour ce topic qui reprend notre débat sur le forum concernant l’infection que j’avais eu il y a quelques mois.

    A bientôt.

    Franky

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *