Le 26 Février, soit presque 2 mois, j’ai été en copie d’un mail envoyé par Kafeine d’un incident concernant des malvertising.
Il s’agit ici d’une régie publicitaire dont le programme publicitaire (openx) a été piraté afin d’opérer des redirections vers un Web Exploit et infecter l’ordinateur des visiteurs.
L’incident initial :
Le binaire lancé sur l’ordinateur par le Web Exploit :
Bien entendu à la sortie, le malware est mal détecté :
| SHA256: | f26db5d1321e5e49400e5d21d916f6d28375077280d0114c1fde8667ad7b8465 |
| Nom du fichier : | 2222.tmp |
| Ratio de détection : | 4 / 56 |
| Date d’analyse : | 2016-04-13 10:57:56 UTC (il y a 1 minute) |
| Antivirus | Résultat | Mise à jour |
|---|---|---|
| Baidu | Win32.Trojan.WisdomEyes.151026.9950.9999 | 20160412 |
| McAfee-GW-Edition | BehavesLike.Win32.PWSZbot.cc | 20160413 |
| Qihoo-360 | QVM20.1.Malware.Gen | 20160413 |
| Rising | PE:Malware.XPACK/RDM!5.1 [F] | 20160413 |
Les malwares poussés sont de type Trojan Banker.
On voit aussi toutes les difficultés pour les régies publicitaires de nettoyer leurs serveurs, les cybercriminels étant assez ingénieux.
Openx étant très visé, car très utilisé et ayant pas mal de soucis de sécurité.
J’avais d’ailleurs fait un article sur un cas d’un openx compromis : [en] OpenX Hacks example (malvertising)
Pour être protégé contre ces infections, vous devez maintenir vos logiciels à jour et notamment les plugins de vos navigateurs WEB.
Plus d’informations sur la sécurité de votre ordinateur, sur la page : Sécuriser Windows.
EDIT – 9 jours plus tard – toujours active
