Trafficholder Malvertising, Exploit Kit, Trojan et Ransomware

Les campagnes de malvertising continuent, pendant que celle visant à pousser le ransomware Cerber persistent : Malvertising Uptobox poussant Cerber
Pour rappel, le but ici est de proposer des publicités qui ont pour but de rediriger les internautes vers des Web Exploit afin d’infecter les ordinateurs.
En l’occurence ici, il s’agit de Nuclear Exploit Kit (Nuclear EK) alors que la campagne Cerber utilise le Magnitude Exploit Kit

J’avais déjà fait une capture d’écran au 26 Avril, soit donc il y a plus d’un mois : http://forum.malekal.com/nuclear-exploit-kit-t55005.html#p419254
Certainement que ces campagnes tournent depuis bien avant.

Le réseau publicitaire TrafficHolder (surement d’autres) est aussi touché, ce dernier est régulièrement touché par des malvertising depuis plusieurs années.
Notamment du temps des grandes campagnes de malvertising visant à pousser le virus Gendarmerie.
Il s’agit d’une régie publicitaire active sur les sites pour adultes, streaming illégaux et torrent.

Depuis un mois, celle-ci est touchée par plusieurs campagnes sucessives : https://twitter.com/malekal_morte/status/727852560011366400 – Notez que ces derniers ont utilisés une IP Illiad :

ExploitKit_Trojan_Malvertising_3

Divers malwares sont droppés, on trouve notamment des Trojan Banker comme Gotkit, ci-dessous un ransomware Mobef /BandarChor
ExploitKit_Trojan_Malvertising

et il y a quelques minutes :

ExploitKit_Trojan_Malvertising_2

 

Trafficholder_ExploitKit_Trojan_Malvertising

qui conduit à un Trojan type Banker / Stealer probablement un Smokebot basé sur du Zeus.
La clef Run de lancement du Trojan :


Trojan_banker_malvertising

Ce dernier injecte explorer.exe pour contrôler et effectuer les connexions nécessaires au serveur de contrôle, plutôt classique.

Trojan_banker_malvertising_2

Trojan_banker_malvertising_3

L’adresse du serveur de contrôle est en HTTPs.
Ca ne s’arrête pas là puisque le dropper est à zéro sur VirusTotal, en jargon on dit FUD pour Fully undetected :

SHA256:20318b4818e3cb8e4515938cb85a507104a2d683448519d70992a84313020ebb
File name:158A.tmp
Detection ratio:0 / 56
Analysis date:2016-06-11 10:19:13 UTC ( 1 minute ago )
Et le fichier est signé (le certificat a été révoqué)… à ce propros lire les dossiers :
Trojan_banker_signe
Le fichier du Trojan est en attribut caché/système comme bien souvent.
Trojan_banker_signe_2

A peine retiré qu’une nouvelle remplace la précédente pour se maintenir.
TrafficHolder ne maitrise pas du tout le contenu des publicités qu’ils diffusent……. ou s’en fout totalement.
Toujours chez Illiad : https://www.virustotal.com/en/ip-address/62.210.192.114/information/
Trafficholder_malvertising

Trafficholder_malvertising_2

 

Par contre pour une fois, Microsoft SmartScreen est utile :

Malvertising_SmartScreen_Exploit

et le lendemain :

Trafficholder_ExploitKit

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 268 times, 1 visits today)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *