Malvertising/Hack (?) redirige vers du Redkit (TitanPoker ads)

Bloqueur de pub détectée - Vous bloquez l'affichage des publicités.
Pour soutenir le site, merci de bien vouloir laisser les publicités s'afficher.

Plus d'informations : Comment désactiver les bloqueurs de publicité sur un site internet.

Vu en commentaire à l'instant, une personne qui rapporte avoir été infecté par Urausy sur le site alpha-romeo : https://www.malekal.com/2013/02/08/urausy-nouveau-skin-avec-logo-hadopi/#comment-6882
forum_alpha_romeo

Le site est ranké 60 en France sur Alexa.com forum_alpha_romeo2
A la visite, une popup de pub TitanPoker.
Cette popup était aussi présente sur le site chartsinfrance et redirige vers l'exploitkit à la fermeture : https://www.malekal.com/2013/01/29/chartsinfrance-net-hacke/

forum_alpha_romeo3
Java qui se lance : forum_alpha_romeo4
pour executer le dropper : https://www.virustotal.com/fr/file/2b63c5fb29dba8d06fa3ffa05bfcdfd4443e5f415732895620e66f07c7f4807a/analysis/1361887612/

SHA256: 2b63c5fb29dba8d06fa3ffa05bfcdfd4443e5f415732895620e66f07c7f4807a
Nom du fichier : 4X7PVHK.exe
Ratio de détection : 5 / 45
Date d'analyse : 2013-02-26 14:06:52 UTC (il y a 0 minute)

AhnLab-V3      Trojan/Win32.Zbot      20130226
ESET-NOD32 probably a variant of Win32/Injector.ADIB 20130226
Fortinet W32/EncPk.AFN!tr 20130226
Kaspersky Trojan.Win32.Inject.femx 20130226
McAfee PWS-Zbot-FALF!4A9FA1A4D784 20130226
forum_alpha_romeo5

La redirection vers l'exploitkit Redkit (http://aacomputersusa.com/ctuf.html et http://popular.whoreforall.com/ctuf.htm) se fait à partir de l'url http://router.org/ (67.23.251.12)
Le domaine est vieux et les informations sont masquées (ce qui est un tantinet louche).
forum_alpha_romeo6

La redirection vers router.org depuis le site alfaromeo-online.com forum_alpha_romeo7
C'est exactement la même campagne que sur chartsinfrance.net (https://www.malekal.com/2013/01/29/chartsinfrance-net-hacke/).
Je vais aller poster sur le forum pour les prévenir en espérant avoir plus d'informations (sur chartsinfrance.net ils n'étaient pas très bavards), voir si c'est un hack sous couvert d'une publicité ou une malvertising.
Il y a beaucoup d'IP Board à chaque fois qu'il semble être touché.

EDIT 2 Mars

Résolu, ca semble donc être un hack qui se fait passer pour une publicité.

alfa-rome_hack

Vous avez trouvé cet article utile et interressant, n'hésitez pas à le partager...

Trouver la solution sur le forum d'aide

Vous êtes arrivé au terme de l'article Malvertising/Hack (?) redirige vers du Redkit (TitanPoker ads) mais vous n'avez pas trouvé la solution à votre problème...
Suivez ces articles du forum pour trouver une réponse ou demandez à votre tour de l'aide sur le forum