Malvertising/Hack (?) redirige vers du Redkit (TitanPoker ads)

Dernière Mise à jour le

Vu en commentaire à l’instant, une personne qui rapporte avoir été infecté par Urausy sur le site alpha-romeo : https://www.malekal.com/2013/02/08/urausy-nouveau-skin-avec-logo-hadopi/#comment-6882

forum_alpha_romeo

Le site est ranké 60 en France sur Alexa.com forum_alpha_romeo2
A la visite, une popup de pub TitanPoker.
Cette popup était aussi présente sur le site chartsinfrance et redirige vers l’exploitkit à la fermeture : https://www.malekal.com/2013/01/29/chartsinfrance-net-hacke/

forum_alpha_romeo3
Java qui se lance :

forum_alpha_romeo4
pour executer le dropper : https://www.virustotal.com/fr/file/2b63c5fb29dba8d06fa3ffa05bfcdfd4443e5f415732895620e66f07c7f4807a/analysis/1361887612/

SHA256: 2b63c5fb29dba8d06fa3ffa05bfcdfd4443e5f415732895620e66f07c7f4807a
Nom du fichier : 4X7PVHK.exe
Ratio de détection : 5 / 45
Date d’analyse : 2013-02-26 14:06:52 UTC (il y a 0 minute)

AhnLab-V3      Trojan/Win32.Zbot      20130226
ESET-NOD32 probably a variant of Win32/Injector.ADIB 20130226
Fortinet W32/EncPk.AFN!tr 20130226
Kaspersky Trojan.Win32.Inject.femx 20130226
McAfee PWS-Zbot-FALF!4A9FA1A4D784 20130226
forum_alpha_romeo5

La redirection vers l’exploitkit Redkit (http://aacomputersusa.com/ctuf.html et http://popular.whoreforall.com/ctuf.htm) se fait à partir de l’url http://router.org/ (67.23.251.12)
Le domaine est vieux et les informations sont masquées (ce qui est un tantinet louche).
forum_alpha_romeo6

La redirection vers router.org depuis le site alfaromeo-online.com forum_alpha_romeo7
C’est exactement la même campagne que sur chartsinfrance.net (https://www.malekal.com/2013/01/29/chartsinfrance-net-hacke/).
Je vais aller poster sur le forum pour les prévenir en espérant avoir plus d’informations (sur chartsinfrance.net ils n’étaient pas très bavards), voir si c’est un hack sous couvert d’une publicité ou une malvertising.
Il y a beaucoup d’IP Board à chaque fois qu’il semble être touché.

EDIT 2 Mars

Résolu, ca semble donc être un hack qui se fait passer pour une publicité.

alfa-rome_hack

Trouver la solution sur le forum d'aide

Vous êtes arrivé au terme de l'article Malvertising/Hack (?) redirige vers du Redkit (TitanPoker ads) mais vous n'avez pas trouvé la solution à votre problème...
Suivez ces articles du forum pour trouver une réponse ou demandez à votre tour de l'aide sur le forum


Vous avez trouvé cet article utile et interressant, n'hésitez pas à le partager...
Une question informatique ?
Un virus à supprimer ? Votre PC est lent ?
Demander de l'aide sur le forum

2 Comments

  1. Homerlulu 27 février 2013
  2. Hack Tout 9 avril 2014

Laisser un commentaire

0 Partages
Tweetez
Partagez
Enregistrer
Partagez