Malvertising sur dl-protect.com via hooqy.com et clicksor

dl-protect.com est un service qui permet de déposer des liens de téléchargement.
Cela permet de cacher le referer mais aussi de proposer un système de CAPTCHA contre les téléchargements automatisés.
Le service est utilisé par les sites de Warez/Streaming et autres pour proposer de télécharger des programmes, films etc.

De ce fait, cela peux toucher beaucoup de monde en témoigne le graphe alexa.com :

 

Le site conduit à une malvertising qui conduit à un exploit sur site WEB :


Le code habituel. Une image et une iframe qui conduit au BlackHole

La bannière malicieuse :


C’est en fait clicksor qui charge celle-ci :

Les liens BlackHole :

http://ads.hooqy.com/newServing/banner_frame.php?nid=1&pid=159185&sid=241812&zone=-1&image=3&adtype=1&key=8bea49e5152adb5a2d9dbd8496455335 (199.21.148.108)
http://totyballl.info/43bf6353ecaa0e20c9631bcb680ea963
http://untidy.alnilin.info/main.php?page=a306572deb323e11 (84.19.161.156)
http://untidy.alnilin.info/content/fdp1.php?f=27
http://untidy.alnilin.info/content/cph2.php?c=27
http://untidy.alnilin.info/content/v1.jar
http://untidy.alnilin.info/content/fdp1.php?f=27
http://untidy.alnilin.info/com.class
http://untidy.alnilin.info/content/fdp1.php?f=27
http://untidy.alnilin.info/w.php?f=27&e=3
http://untidy.alnilin.info/main.php?page=a306572deb323e11
http://untidy.alnilin.info/content/fdp1.php?f=27
http://untidy.alnilin.info/content/cph2.php?c=27
http://untidy.alnilin.info/com.class

Ici un exploit Java qui lance le payload :

 et une connexion à un serveur WEB 95.57.120.108

netname: IP_Fedinyak
descr: Fedinyak Sergey
descr: Co-location servers
descr: Karagandy
country: KZ

qui affiche la page relative au ransomware Virus Gendarmerie :

Au vu de l’audience de dl-protect, on peux s’attendre à une relance de la campagne du ransomware Virus Gendarmerie qui déjà en Décembre avait toujours environ 30k personnes.

A noter que l’adresse donnée pour hoqqy.com que l’on retrouve sur le site :

Administrative Contact:
Christophe, Alen webmaster@hooqy.com
 174 Skyway Avenue Toronto, Ontario M9W 2G2
Canada
4164772325 Fax —

pointe en plein milieu de la pampa :

 

(Visité 480 fois, 1 visites ce jour)

Vous pouvez aussi lire...

Les Tags : #Windows10 - #Windows - #Tutoriel - #Virus - #Antivirus - #navigateurs WEB - #Securité - #Réseau - #Internet