Gootkit est un Trojan Banker très actif depuis 2010. Initialement il s’agit d’un Bootkit reprenant des fonctionnalités du Trojan Zeus depuis il a pas mal évolué pour passer en mode ‘malware FileLess‘. Vers Février 2016, Gootkit vise les banques françaises (source ProofPoint) et effectivement depuis Mars 2016, les campagnes visant la France […]

Les campagnes de malvertising continuent, pendant que celle visant à pousser le ransomware Cerber persistent : Malvertising Uptobox poussant Cerber Pour rappel, le but ici est de proposer des publicités qui ont pour but de rediriger les internautes vers des Web Exploit afin d’infecter les ordinateurs. En l’occurence ici, il s’agit […]

Le ransomware Cerber est une famille de crypto-Ransomware des plus actives en France. Un petit zoom sur les campagnes de ransomwares. Je rappelle qu’il existe des pages génériques sur ce que sont les ransomwares : crypto-Ransomware Ransomwares/Rançongiciels

Le 26 Février, soit presque 2 mois, j’ai été en copie d’un mail envoyé par Kafeine d’un incident concernant des malvertising. Il s’agit ici d’une régie publicitaire dont le programme publicitaire (openx) a été piraté afin d’opérer des redirections vers un Web Exploit et infecter l’ordinateur des visiteurs. L’incident initial :

Si vous suivez les alertes Flash et autres plugins de vos navigateurs WEB, vous avez pu lire qu’une vulnérabilité 0-day touchaient Adobe Flash, il y a quelques jours : Vulnérabilités Player Flash et Shockwave Player. La version 21.0.0.213 d’Adobe Flash corrige cette vulnérabilité. Trend-Micro et F-Secure ont émis deux alertes concernant des […]

Ca faisait longtemps que je n’avais pas posté une campagne de malvertising, même si celle-ci reste fréquente, notamment dernièrement pour pousser le ransomware TeslaCrypt Cette fois-ci ce ne sont pas les réseaux publicitaires PopAds, PopCash ou Adsterra qui sont touchés, mais les réseaux adnetworkperformance et tradeadexchange qui sont liés à AdCash. […]

Les arnaques de support téléphoniques ou « tech scam » en anglais sont de plus en plus courantes. A l’origine, il s’agissait de campagnes téléphoniques se faisant passer pour Microsoft, ces arnaques ont aussi été élargies à des pages WEB bloquant plus ou moins le navigateur WEB et affichant un message indiquant que […]

Some days ago, i help some friend to get their ads network clean up, so i can share some Openx Hacks example. The group behind this hacks is very well know, you cant reconize them by this pattern domain.tld/directory{1,3}/page.js Recently they use Goddady subdomain : https://twitter.com/malekal_morte/status/599227867852054528 Last IPs : https://www.virustotal.com/fr/ip-address/85.143.216.203/information/ https://www.virustotal.com/fr/ip-address/85.143.217.219/information/ https://www.virustotal.com/fr/ip-address/85.143.217.89/information/ […]

filestore321.com et filestore72.info sont des adresses utilisées dans des campagnes pour pirater des forums (notamment de type IPB) afin de rediriger les internautes vers des publicités et gagner de l’argent. Ces publicités ne sont pas malicieuses (bien que parfois, certains programmes pas vraiment utiles sont proposés). Les adresses filestore peuvent […]

Les publicités malicieuses ou Malvertising sont des menaces qui existent depuis plusieurs années. Ce dossier vous explique que sont ces menaces à travers quelques exemples de campagnes et comment les éviter. Que sont les publicités malicieuses « Malvertising » ? Lorsque des cybercriminels souhaitent lancer des campagnes pour infecter des internautes qui […]

Je vais commencer à regarder les publicités mobiles sur les sites pornographiques et autres. Les sujets Browlock sur mobile commencent à arriver. D’autre part, les fausses publicités Java/Flash sont maintenant tombés à un niveau acceptable. Surtout les publicités avec de fausses alertes comme j’en avais déjà parlés : https://www.malekal.com/2014/01/04/publicites-pourries-sur-tablettesmobile/ Mais […]

Got a ping from ESET for a malvertising in the wild. Found this in tubecup.org : Domain Name:ADVERSTINGSHARE.ORG Domain ID: D171684869-LROR Creation Date: 2014-03-29T17:42:40Z Updated Date: 2014-03-31T08:21:18Z Registry Expiry Date: 2015-03-29T17:42:40Z Sponsoring Registrar:PDR Ltd. d/b/a PublicDomainRegistry.com (R27-LROR) Sponsoring Registrar IANA ID: 303 The malicious redirection lead to an Angler EK, […]

Some weeks ago, i send a tweet https://twitter.com/malekal_morte/status/426394544414793728 to popads about a malvertising leading to fake antivirus alert (not new) :     then i tweet this : https://twitter.com/malekal_morte/status/426396235436539904 https://twitter.com/malekal_morte/status/426402975741771776 today i got a new malvertising from adnx : A popup appears with the message « Microsoft Antivirus has found critical process […]

Today i want to write a non-technical article about malvertising in adult wolrd. Im following malvertisings in adult world since the rise of Fake Police Ransomware in France that is probably one of the most big thread for the 3 last years. (My english is not very good, so if […]

Yesterday, i tweet about a W32/Boaxxe on scamadviser.com btw, not bad 🙂 Check it again this morning – Java want to be loaded : Payload : Same URLs – as you can see, there is an iframe, act like an ads banner. pixiepixie.com load a SWF banner. The frame of […]

Found by Jérôme  Segura (Malwarebytes) yesterday : https://twitter.com/jeromesegura/status/423180548236771328 directrev.com is 121 @ Alexa, so it’s probably big : http://www.alexa.com/siteinfo/directrev.com Able to reproduce it from http://www.elivetv .in http://ad.directrev.com/RealMedia/ads/adstream_sx.ads/S0002289/126642279083300710@x10?uln=en-US http://www.klixfeed.com/re.php?mid=152d6395bcb0ad&m=aHR0cDovL3d3dy5ib3hzZWFyY2gubmV0L2ZpbHRlci5waHA=&tu=79110 (108.170.34.11) http://www.boxsearch.net/filter.php?mid=[..]&tu=79110 http://www.boxsearch.net/go.php?mid=[..]=79110 – 0 @ VT http://addirekt.com/?id=klix (5.45.74.44) than Angler Exploit Kit : http://y02ks.lucirabydeva.com/fyt9iimg9y?thread=143&key=[..] think boxsearch.net and addirekt.com are owned by […]

Yesterday, got this tweet : https://twitter.com/MickaelViaud/status/420314220610457600 Claiming to get the Fake Java Update (PUP.DomaIQ) on Dailymotion via Yahoo ads. (Dailymotion is a big streaming video website : 191 at Alexa) Today some user complaints : http://www.commentcamarche.net/forum/affich-29448801-chrome-virus-spam-url-s-ouvre-toute-seule-http-www-adobeupdate#17 Got the Malvert (yes it is), just by letting the browser open on Dailymotion, and […]

Clicksor is well know to lead to malvertising : https://www.malekal.com/?s=clicksor First mention, December 2011 when Fake Police Ransomware has started in mass in France, so they are delivering malvertising for 2 years now : https://www.malekal.com/2011/12/12/virus-police-virus-bundespolizei-malvertising-de-clicksor-com-sur-streaming/ so today, in rapid8.com, i found two differents malvertising… (merci à celui qui m’a envoyé un message) […]

Found this on http://www.alldirtyteens.com/ –  seems to target US. http://ad.aduserver.com/www/delivery/spcjs.php?id=41&block=1&blockcampaign=1&target=_blank http://ad.aduserver.com/www/delivery/spc.php?zones=122%7C123%7C124%7C125%7C126%7C127%7C128%7C129%7C130&source=&r=48221909&block=1&blockcampaign=1&target=_blank&charset=utf-8&loc=http%3A//www.alldirtyteens.com/hosted-id841-perfect-pussy-and-body-for-a-fuck.html&referer=http%3A//realhomesex.net/leftads.html http://ad.aduserver.com/www/delivery/fl.js http://dimecut.eu/5b22f446.js?cp=ad.aduserver.com Domain Name: ADUSERVER.COM Registrar: KEY-SYSTEMS GMBH Whois Server: whois.rrpproxy.net Referral URL: http://www.key-systems.net Name Server: NS0.TRANSIP.NET Name Server: NS1.TRANSIP.NL Name Server: NS2.TRANSIP.EU Status: ok Updated Date: 11-feb-2013 Creation Date: 10-feb-2010 Expiration Date: 10-feb-2014 Registrant Contact: P-JUG1066 Registrant Organization: Registrant […]

A Malvertising with a Fake Browser Update page at Exoclick : http://syndication.exoclick.com/splash.php?cat=97&idsite=238361&idzone=713127&login=porntm&type=8&p=http%3A%2F%2Fgfcammovies.com%2F http://marybuirgy.com/cams.html (142.4.219.202) – 0 @ VT https://www.virustotal.com/fr/url/212c6ff4531298fe366177296b252f5d5c0b83c39428a5068041ab7821a0a223/analysis/1381737817/ http://wwww.marybuirgy.com/ http://wwww.marybuirgy.com/context.js http://www.marybuirgy.com/ http://dtypes.ituneshelpers.info:5125/h2x/1/cc660c292c303ac12a912327933442e3/http%3A%2F%2Fgfcammovies.com%2F unfortunately, i got a timeout on the Exploit kit EDIT – removed  

My bad on the October 10 EDIT  : https://www.malekal.com/2013/05/29/en-ero-advertising-malvertising-for-flimrans-ransomware-campaign/ It’s not Flimrans Ransomware but Reveton with a new Exploit Kit called « Angler EK » Here an update of the Malvertising at TrafficHolder : http://candy.dandydaddy.net/geo6/go.php?sid= (88.214.200.190) 0 – @ VT https://www.virustotal.com/fr/url/2311b4dc009ad342529377a3ee9e2a0f4c1e291b5bc546b947368129042abef0/analysis/1381736738/ http://55grey.live1asmin.com/monster/monster.php (88.214.200.190) – 0 @ VT https://www.virustotal.com/fr/url/6ddf5caa515b108d06f2725893f84b4a8265c903531560eab684adbccfb9e91c/analysis/1381736744/ http://efjyp.carpetcleaningplymouthmn.com/ak0iwxd15s Sample : http://malwaredb.malekal.com/index.php?hash=b04c68fc55a02e91c8c6041393ab4ffd EDIT – update from a one […]

Ci-dessous quelques topics où des personnes se plaignent de popups de publicités : https://forum.malekal.com/ongle-publicite-popcash-t44541.html http://www.commentcamarche.net/forum/affich-28647872-popup-sous-firefox http://www.commentcamarche.net/forum/affich-28634395-probleme-de-page-qui-s-ouvre-toute-seule-sous-google-chrome Sur chacun de ces topics, aucun adware ni programmes parasites (PUPs). Finalement, un étranger du nom de 24forever est venu poster sur commentcamarche, le message suivant : en donnant un autre cas similaire : http://www.trojaner-board.de/140883-windows-7-firefox-popcash-net-oeffnet-einfach-immer-sporadisch.html Il […]

An other Malvertising for the ransomware Urausy from TrafficHolder : http://uniquetube.com/category/Amateur/ctr/1/ (198.50.130.112) http://fc3a334ba2.xrstats.com/counter.js (198.27.75.11) http://xrstats.com/v/cl.php?r=1&slyun=1KaxreDWrJ6uVZundHDS1Ojm2YWt2K5kZ20ideHV6ujK1%2BfH2WGWom0irt%2BzrJ%2BF1tThlJyhX2nXjrTcn5arnqxupm03OpXh7NjXwtvJlm6cbTIyqKfsrZaTrIfmmJmYcmXly%2BLXh57bn61sbGg1O%2BamsK2HxuHa4qelrCI75qarrYepxIevpm1kMTqV3t7XztXXyOiopZ8iO%2Bamq6qfhdrZ6KNtYi945d%2Ft1NnWoMjjoGKpL2Pfmunb1YWt2K5sbVVvcNja3uXa1d6Hr6ZtZDk6ldTt59WdoZTspaanYXTmmtzi0pKUoOdtam0ictjS3uXK1ZSg521qYzoi2%2BDt45%2BSodzrqmGmZXjn4dvYnZygyOOgYqZtad%2FV59qKldbG5pSVnGMlpdDb1MfIl5fYlZ2SdmnX0eikmZOpnaphm6dtbJWn9g%3D%3D (198.27.75.11) http://xrstats.com/v/?o=1&slyun=1KaxreDWrJ6uVZundHDS1Ojm2YWt2K5kZ20ideHV6ujK1%2BfH2WGWom0irt%2BzrJ%2BF1tThlJyhX2nXjrTcn5arnqxupm03OpXh7NjXwtvJlm6cbTIyqKfsrZaTrIfmmJmYcmXly%2BLXh57bn61sbGg1O%2BamsK2HxuHa4qelrCI75qarrYepxIevpm1kMTqV3t7XztXXyOiopZ8iO%2Bamq6qfhdrZ6KNtYi945d%2Ft1NnWoMjjoGKpL2Pfmunb1YWt2K5sbVVvcNja3uXa1d6Hr6ZtZDk6ldTt59WdoZTspaanYXTmmtzi0pKUoOdtam0ictjS3uXK1ZSg521qYzoi2%2BDt45%2BSodzrqmGmZXjn4dvYnZygyOOgYqZtad%2FV59qKldbG5pSVnGMlpdDb1MfIl5fYlZ2SdmnX0eikmZOpnaphm6dtbJWn9g%3D%3D http://0b9451f3fe.com/?id=03 Redirect to a fake codec – Alreadu talked about it there : https://www.malekal.com/2013/04/15/urausy-et-faux-codec-site-de-streaming-pornographiques/ http://malwaredb.malekal.com/index.php?hash=6a2c9abaf59b5e314b3412f944d4b741 https://www.virustotal.com/fr/file/497c516c5549200ae5d87e9bb313e14fd4f5cd29ba2048a4f8d942f4c4a77b91/analysis/1375811140/ SHA256: 497c516c5549200ae5d87e9bb313e14fd4f5cd29ba2048a4f8d942f4c4a77b91 Nom du fichier : video_hd.exe Ratio de détection : 1 / 46 Date d’analyse : 2013-08-06 […]

Une campagne a actuellement lieu sur des sites pornographiques, cette campagne a pour but d’ouvrir une fausse pages type « Virus Gendarmerie« . Ces pages sont ouvertes par des redirections opérées par des régies de publicités depuis les sites pornographiques : aucun virus n’est installé sur l’ordinateur. Pour vous protéger contre ces infections, […]

Already got it some days ago, but i didnt pay any attention. Tube8.com is a large porn website – 130k at Alexa.com The Exploit Kit : engine.phn.doublepimp.com leads to dblpmp.com then it leads to dateroute.com (95.211.13.44 – LeaseWeb -NL)  then leads to a TDS clickstatonlinetreker.com/in.cgi?4 (62.212.72.236 – LEASEWEB – NL) leads […]

Got a Malvertising from a Warez Website that leads to Ramnit virus : from popads.net the TDS : http://dristohren.biz (64.120.137.35) NetRange: 64.120.128.0 – 64.120.255.255 CIDR: 64.120.128.0/17 OriginAS: AS21788 NetName: HOSTNOC-5BLK NetHandle: NET-64-120-128-0-1 Parent: NET-64-0-0-0-0 NetType: Direct Allocation RegDate: 2009-04-27 Updated: 2012-03-02 Ref: http://whois.arin.net/rest/net/NET-64-120-128-0-1 The dropper :  http://malwaredb.malekal.com/index.php?hash=8388ea91a2d7fd290a6b0c32f3dd5f7c Detections are good : https://www.virustotal.com/fr/file/d64b3eff3613e301acb95dc057d604526aeb396854a73b1eca327262da5d85fb/analysis/1362590163/ […]

Une autre malvertising via une applet SWF sur redir.ballysbs.com Domain Name: BALLYSBS.COM Registrar: ENOM, INC. Whois Server: whois.enom.com Referral URL: http://www.enom.com Name Server: NS1.AFRAID.ORG Name Server: NS1.FREEDNS.WS Name Server: NS2.AFRAID.ORG Name Server: NS2.FREEDNS.WS Status: clientTransferProhibited Updated Date: 11-dec-2012 Creation Date: 08-dec-2012 Expiration Date: 08-dec-2013 Registrant Contact: Private John Young () Fax: […]

Vu en commentaire à l’instant, une personne qui rapporte avoir été infecté par Urausy sur le site alpha-romeo : https://www.malekal.com/2013/02/08/urausy-nouveau-skin-avec-logo-hadopi/#comment-6882 Le site est ranké 60 en France sur Alexa.com A la visite, une popup de pub TitanPoker. Cette popup était aussi présente sur le site chartsinfrance et redirige vers l’exploitkit à […]

Une malvertising un peu originale sur le site de streaming pornographique x3xtube (environ 10K sur Alexa). C’est la bannière à droite Kinky Adult Toys : Le site renvoie vers adultmediatoys.com qui se charge de renvoyer vers http://wlroxe.changeip.name/iniframe/f230e4d6764cef153644d47b957d67b0/99/a622a8d7c2e72d2b16dffab2dd4b8af3/11aedd0e432747c2bcd97b82808d24a0 Ce dernier renvoie vers différentes pages de http://bdvufzglo.changeip.name via des iframes  :  Les […]

Just got a nice Malvertising from clicksor via plugcrush and adultadworld on a Warez website : http://serw.clicksor.com/newServing/links.php?zone=0&chad=1&adu=2&cs=&adtype=0&nid=1&sid=240866&pid=158704&spid=0&image=2&memkey=21ef288088acf517e987cc9c5dce85d9&durl=http%3A%2F%2Ftinyurl.com%2Fd5vnmq5&lq=0&lb=145&qp=YF4lKC_7JScg-Scy-yQqJPFjZU4wKSL7KDIg_GpVJSUzICctfX4lLnwjKiL9IzAiKnxiWy0tfCgsIPwnL_4r http://viegmobmi.com/?9d41c876af1aa135efa0cc288c49fe05 http://udkqwktff.ftp1.biz/vd/2;bbac9ceefad9d2cdeab12044a0bbe316 http://koralucpa.info/ http://viegmobmi.com/?9d41c876af1aa135efa0cc288c49fe05 http://ad.koraloguild.info/?529f79e9fe8613c45013718baab7d1a2 http://koraloguild.info/?track=072221289aea340cfe2daa2add5f15fc redirect to : http://pu.plugrush.com/1o1w.js http://pu.plugrush.com/t/1o1w/3305/302e834e1ebe560283f5496e31ab8659/aHR0cDovL2tvcmFsb2d1aWxkLmluZm8vP3RyYWNrPTA3MjIyMTI4OWFlYTM0MGNmZTJkYWEyYWRkNWYxNWZj that redirect to : http://newt7.adultadworld.com/jsc/z5/fm.html?n=607&c=14316&s=30358&d=15&w=1&h=1&z=76146995 http://newt7.adultadworld.com/bar/v16-605/z5/jsc/fmr.html?n=607&c=14316&s=30358&d=15&w=1&h=1&z=76146995 http://cs.adxpansion.com/ads.php?zone_id=86850&type=redirect&q= that redirect to the end ads : qweentits.org as you can see qweentits.org hits a […]