Ransomware : Vulnérabilité Flash (CVE-2016-1019) et Magnitude Exploit Kit

Si vous suivez les alertes Flash et autres plugins de vos navigateurs WEB, vous avez pu lire qu’une vulnérabilité 0-day touchaient Adobe Flash, il y a quelques jours : Vulnérabilités Player Flash et Shockwave Player.
La version 21.0.0.213 d’Adobe Flash corrige cette vulnérabilité.
Trend-Micro et F-Secure ont émis deux alertes concernant des augmentations de traffic du Web ExploitKit Magnitude. (Pour rappel, un Web ExploitKit permet d’infecter un ordinateur à la simple visite d’un site WEB exploitant des vulnérabilités).

Les chiffres donnés par F-Secure :
magnitudeek_20160407

et la répartition par pays donnée par Trend-Micro, la France se classe second.
On notera d’ailleurs que l’Europe est devant les US ce qui est relativement rare.

magnitude_CVE20161019

Ces campagnes visent à pousser des ransomwares. Chez Trend-Micro on parle de Locky Ransomware et TeslaCrypt Ransomware, chez F-Secure Cerber Ransomware.
Chez Malwarebytes, on parle aussi du Ransomware Cerber.
Une partie de cette campagne est en réalité très ancienne, j’avais déjà tweeté une partie : https://twitter.com/malekal_morte/status/707317718647750657
et aujourd’hui chez PlugRush : https://twitter.com/malekal_morte/status/719438271831535616
Une partie sur l’actualité relative à TeslaCrypt : http://forum.malekal.com/teslacrypt-ransomware-fichiers-extensions-jpg-mp3-t53347-15.html#p415726

Ransomware_WebExploitkit_2 Ransomware_WebExploitkit

 

Ces campagnes poussant des ransomwares ont débuté en février après que le pic des campagnes d’emails TeslaCrypt aient chuté.
Comme d’habitude, lorsqu’une 0-day sort, une accélération de ces campagnes a lieu pour toucher un maximum d’internaute, le temps que la mise à jour correctrice se diffuse.

Comme d’habitude et comme le mentionne F-Secure, ce sont les régies publicitaires sur les dites pornographiques et streaming illégaux qui sont touchés en masse (AdsTerra, Popcash, PopAds, PlugRush etc).
Les mêmes régies qui entre 2011 et 2014 ont diffusés massivement des Trojan Winlock (Virus Gendarmerie).
Ce qui démontre une nouvelle fois que la thématique de ces sites est plus dangereuse qu’un site classique.
Notez cependant que les CMS (WordPress et Joomla) sont aussi activement piraté pour pousser des campagnes d’ExploitKit.

La détection du SWF Exploit :

SHA256:3b7711de5ca480fe1965c6a6d038d80817b3259c1229426c9ca67f8d4eedeaa5
Nom du fichier :index.php.swf
Ratio de détection :5 / 56
Date d’analyse :2016-04-11 08:12:18 UTC (il y a 1 heure, 45 minutes)
AntivirusRésultatMise à jour
Antiy-AVLTrojan[Exploit]/SWF.SWF.Generic20160411
CAT-QuickHealExp.SWF.JV20160411
ESET-NOD32SWF/Exploit.ExKit.AZ20160411
McAfee-GW-EditionBehavesLike.Flash.Exploit.mg20160410
Qihoo-360susp.swf.qexvmI.9020160411

Bien entendu, les autres campagnes actives qui ne poussent pas des ransomwares bénéficient aussi de cette vulnérabilité, par exemple Exemple d’une Malvertising sur OpenX qui pousse des Trojan Banker.

Bref, nous le répéterons jamais assez, penser à maintenir vos logiciels à jour et notamment les plugins du navigateur WEB, pour vous y aider : Logiciels pour maintenir ses programmes à jour
Plus généralement pour sécuriser Windows : Sécuriser Windows.

Quelques IPs et domaines utilisés dans des malvertising :

62.75.197.189
flagameonline[.]com
moneyinvestbest[.]com
orealore[.]com
goodsandgames[.]com

62.75.197.190
onlineflagames[.]com
megasplaycity[.]com
myplaygamecity[.]com
tetraplaycity[.]com

62.75.197.191
newbrowgames[.]com
realoregame4u[.]com
nextdaysgame[.]com

62.75.197.192
moneybestinvest[.]com

62.75.197.194
nextweekgames[.]com
bestinvestmoney[.]com

62.75.197.195
freemygameplay[.]com

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 152 times, 1 visits today)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *