Redkit ExploitKit par campagne de Spam sur la tragédie de Boston

Une campagne de Spam malicieux a actuellement lieu tirant parti de la tragédie de Boston.

Redkit_Tragegie_Boston

Les mails contiennent seulement des liens de ce type :

http://178.137.120.224/news.html
http://95.87.6.156/news.html
http://188.2.164.112/boston.html
http://178.137.120.224/news.html
http://46.233.4.113/boston.html
http://94.28.49.130/boston.html

qui conduisent à des pages avec des vidéos Youtube de la tragédie.
La page contient aussi une iframe qui charge un Exploit Kit (Redkit)

Redkit_Tragegie_Boston2
Exemple d’iframe de RedKit :

Redkit_Tragegie_Boston3
Redkit_Tragegie_Boston4 Redkit_Tragegie_Boston5
Redkit_Tragegie_Boston6

Redkit charge deux malwares Trojan.Tepfer (Stealer) et Trojan.Karagany qui va charger d’autres malwares.
Trojan.Tepfer : https://www.virustotal.com/fr/file/9703e94e6305b5a0a4951b11772254d4b46198a26d82ecb11223d7c4f1a2752d/analysis/

SHA256: 9703e94e6305b5a0a4951b11772254d4b46198a26d82ecb11223d7c4f1a2752d
Nom du fichier : 9b00478ec826a2c3af1bee20e5a89fc3
Ratio de détection : 6 / 46
Date d’analyse : 2013-04-17 14:17:50 UTC (il y a 12 minutes)

AntiVir TR/Crypt.ZPACK.Gen 20130417
Comodo Heur.Packed.Unknown 20130417
Fortinet W32/Kryptik.X!tr 20130417
Malwarebytes Spyware.Zbot.USBV 20130417
McAfee PWS-FAUS!9B00478EC826 20130417
Symantec Suspicious.Cloud.5 20130417Redkit_Tragegie_Boston7

Redkit_Tragegie_Boston9
et Trojan.Karagany : https://www.virustotal.com/fr/file/8837baa1178ae1934537bb9187dbc89cd17ab66c5d7ceef6423422a6c98ad636/analysis/

SHA256: 8837baa1178ae1934537bb9187dbc89cd17ab66c5d7ceef6423422a6c98ad636
Nom du fichier : 88626e51f744b6f68baa32eb2339afa6
Ratio de détection : 6 / 42
Date d’analyse : 2013-04-17 14:18:12 UTC (il y a 12 minutes)

Web Trojan.PWS.Stealer.2155 20130417
Fortinet W32/Jorik.CTPG!tr 20130417
Kaspersky UDS:DangerousObject.Multi.Generic 20130417
Kingsoft Win32.Troj.Undef.(kcloud) 20130415
Malwarebytes Trojan.Ransom 20130417
McAfee PWS-Zbot-FAQD!88626E51F744 20130417

Redkit_Tragegie_Boston8

Les droppers des malwares chargeaient par Trojan.Karagany ont des noms du type %TEMP%/~!#FB.tmp
On retrouve systématiquement du ZeroAccess / Sirefef et parfois de l’Urausy
Redkit_Tragegie_Boston10

J’avais déjà évoqué ce kit via des mails sur le billet suivants : http://www.malekal.com/2012/07/18/psw-win32-tepfer-vol-ftp-et-injectionhack-de-sites/

En cas d’infection, pensez à changer vos mots de passe WEB (Facebook, jeux en ligne, mail etc) et FTP qui ont été volés par Trojan.Tepfer et sécuriser vos PC contre les Exploits en maintenant vos logiciels à jour!

Ce n’est pas la première fois que les cybercriminals utilisent l’actualité dans des campagnes de mails, c’était notamment le cas avec la mort de Michael Jackson, le tremblement de terre en Haiti ou plus loin la tempête de 1999 avec le malware Storm.

EDIT –

So fast Kaspersky \o/

Avec le vrai nom du malware en plus \o/

Redkit_Tragegie_Boston11

EDIT 19 Avril

La campagne de spam continue aussi avec l’explosition de l’usine d’engrai chimique au Texas.
La technique est la même :

SPAM_Fertilizer_plant_explosion SPAM_Fertilizer_plant_explosion2

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 10 times, 1 visits today)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *