Fake Flash Player par Hack WordPress => Backdoor.Andromeda (AutoIT)

Il y a quelques jours, j’ai eu un sujet virus gendarmerie où la personne clamait avoir choppé cela après un téléchargement depuis un site WEB : https://forum.malekal.com/virus-interpol-agence-nationale-secu-t45704.html#p359076

Lors de la visite sur le site web, on se trouve avec une message « Flash Player required for this website, click Download NOW » – la proposition de téléchargement d’un flash player.

Fake_FlashPlayer_Ransomware

La redirection est opérée par le chargement d’un Javascript tiers très probablement dû à un hack – ici vers : http://spiritwindchurch.net/wp-admin/cBaDpNdb.php?id=49495196 (50.63.46.1)
3 @ VT : https://www.virustotal.com/fr/url/f4ddd729976d20c70d4fb8ee2070196dc13abc4dc6a0119f48d23abb15459e9d/analysis/1386318325/

Le malware est une Backdoor.Andromeda en AutoIT.

L’encart semble être une repompe de survey de Adscendmedia.

Fake_FlashPlayer_Ransomware2Hier un second sujet : https://forum.malekal.com/fausse-mise-jour-flash-player-vers-v12-t44087-15.html#p359662 qui conduit à la même chose.
fakeflashplayer_hack2cette fois le javascript se trouve à l’adresse http://waysidegrill.com/_NEW/E6nl0QnR.php?id=63111047 (69.195.124.99)
0 @ VT : https://www.virustotal.com/fr/url/48de150a7e51a1ab3b7898c083e9a21ab73d18d81409b76924409db084ebd7c3/analysis/1386317363/

Le Malware obtenu est aussi une Backdoor.Andromeda : http://malwaredb.malekal.com/index.php?hash=798add77da5ecad5ba1e7848f81d7517

fakeflashplayer_hack

Le téléchargement du malware se fait depuis le Cloud Microsoft :

Fake_FlashPlayer_Andromeda

Une campagne assez silencieuse, et au vu des détections assez mauvaises qui peux faire mal.

Pour les propriétés de WordPress qui ont vu leur site hacké, je ne peux que vous renvoyer sur cette page : https://www.malekal.com/2011/09/03/securiser-wordpress/

EDIT – Janvier 29

Toujours actif : https://www.virustotal.com/fr/file/98203851eb03598850bf958c61f85c3fd68079328ca07e509946dc8e31f3d024/analysis/1390982784/

fakeflash_hack

il semble y avoir une poussée confirmée par F-Secure et TrustWave :
http://blog.spiderlabs.com/2014/01/beware-bats-hide-in-your-jquery-.html
http://www.f-secure.com/weblog/archives/00002659.html

(Visité 166 fois, 1 visites ce jour)

Vous pouvez aussi lire...

Les Tags : #Windows10 - #Windows - #Tutoriel - #Virus - #Antivirus - #navigateurs WEB - #Securité - #Réseau - #Internet