Je survolais la maillinglist d’OVH – quand le message suivant m’a interpelé :
suivi du message suivant :
Ceci m’a fait penser au topic suivant : https://forum.malekal.com/sites-web-hackes-via-iframe-vpn-sniffage-t38819.html
Du coup j’ai loadé l’infection, ce qui nous donne :
TCP_MISS/302 431 GET http://luditla.ru/count20.php – DIRECT/50.88.174.84 –
TCP_MISS/200 12715 GET http://79.96.76.203/99960006.html – DIRECT/79.96.76.203 text/html
TCP_MISS/200 11576 GET http://79.96.76.203/33256.jar – DIRECT/79.96.76.203 application/java-archive
TCP_MISS/200 11576 GET http://79.96.76.203/33256.jar – DIRECT/79.96.76.203 application/java-archive
TCP_MISS/200 22498 GET http://79.96.76.203/3.html – DIRECT/79.96.76.203 application/octet-stream
TCP_MISS/200 42079 GET http://ycallier.com/152469.html – DIRECT/213.186.33.87 application/octet-stream
TCP_MISS/200 186386 GET http://ycallier.com/152469.html – DIRECT/213.186.33.87 application/octet-stream
TCP_MISS/200 364562 GET http://ycallier.com/152469.html – DIRECT/213.186.33.87 application/octet-stream
TCP_MISS/200 490562 GET http://ycallier.com/152469.html – DIRECT/213.186.33.87 application/octet-stream
TCP_MISS/200 986 GET http://ycallier.com/152469.html – DIRECT/213.186.33.87 text/html
TCP_MISS/200 771 GET http://promos.fling.com/geo/txt/city.php – DIRECT/208.91.207.10 text/html
TCP_MISS/404 270 GET http://112.121.178.189/api/urls/?ts=db16f35e&affid=56300 – DIRECT/112.121.178.189 text/html
TCP_MISS/200 870814 GET http://ykocnar.ru/newm003.exe – DIRECT/194.12.95.82 –
TCP_MISS/200 1064 GET http://ycallier.com/152469.html – DIRECT/213.186.33.87 text/html
TCP_DENIED/411 2317 GET NONE:// – NONE/- text/html
TCP_MISS/200 1064 GET http://ycallier.com/152469.html – DIRECT/213.186.33.87 text/html
TCP_MISS/200 263 GET http://112.121.178.189/api/stats/install/?ts=db16f35e&affid=56300&ver=3060001&group=liv – DIRECT/112.121.178.189 text/html
TCP_MISS/200 418 GET http://ycallier.com/152469.html – DIRECT/213.186.33.87 text/html
TCP_MISS/200 986 GET http://ycallier.com/152469.html – DIRECT/213.186.33.87 text/html
TCP_MISS/504 1709 GET http://enbcmdte.cn/4290849764?w=603&i=2409640261&v=2.5 – DIRECT/enbcmdte.cn text/html
TCP_MISS/200 1064 GET http://ycallier.com/152469.html – DIRECT/213.186.33.87 text/html
TCP_MISS/200 1064 GET http://ycallier.com/152469.html – DIRECT/213.186.33.87 text/html
TCP_MISS/200 1064 GET http://ycallier.com/152469.html – DIRECT/213.186.33.87 text/html
TCP_MISS/200 1064 GET http://ycallier.com/152469.html – DIRECT/213.186.33.87 text/html
TCP_MISS/504 1709 GET http://enbcmdte.cn/4290549499?w=603&i=2409640261&v=2.5 – DIRECT/enbcmdte.cn text/html
TCP_MISS/200 1085 GET http://ycallier.com/152469.html – DIRECT/213.186.33.87 text/html
On retrouve le même schéma que la dernière fois, à savoir un redirect en count??.php qui charge une url avec une IP et une page html.
C’est l’Exploit Kit Redkit. Ce dernier charge du Trojan.Karagany – la caratéristique actuelle étant l’execution de fichiers de type %TEMP%/~!#3.tmp %TEMP%/~!#5.tmp
L’ironie ici est qu’on a aussi des connexions vers 213.186.33.87 qui est chez OVH.
Les détections des binaires sont assez moisies, bref comme d’habitude.
Cette dernière charge en autre le scareware du moment Live Security Platinum
Par contre la détection Kaspersky a attiré mon attention PSW.Win32.Tepfer (http://www3.malekal.com/malwares/index.php?hash=3484101a85e8cde0dd6bb09034549f81)car j’en parlais déjà là : https://forum.malekal.com/sites-web-hackes-via-iframe-vpn-sniffage-t38819.html
PSW (Password) est le prefixe des stealers qui cible les mots de passe.
Les strings en mémoires de PSW.Win32.Tepfe sont sans appel – on voit bien qu’il cible les clients FTP :
La transmission des données volées se fait par un POST HTTP dans notre cas :
TCP_MISS/200 268 POST http://mitsuakimurata.com/i.php – DIRECT/98.131.95.95 text/html
Il y a donc de grandes chances ici que l’on se retrouve avec le même principe que par le passé avec par exemple PWS.Win32.Daurso.A – voir le billet : https://forum.malekal.com/hack-web-site-par-vol-ftp-t22837.html
Où les victimes des infections alimentent l’infection par le vol de compte FTP et la modification des sites WEB via un ajout de Javascript pour infecter de nouvelles victimes.
A noter que le malware n’est pas résident, c’est du one shot, c’est à dire qu’il ne tente pas de s’installer dans le système pour se relancer à chaque démarrage.
Même si le scareware n’est pas discret, on ne va pas forcément s’attendre à un vol de compte FTP pour modifier le site.
Néanmoins par sécurité, un scan Malwarebyte est le bienvenue, modifier tous les mots de passe FTP aussi.
Encore une fois, le service FTP est très ciblé, il est recommandé de filtrer au maximum les connexions et de l’ouvrir que pour les IPs qui ont vraiment besoin de s’y connecter.
EDIT – 21 Juillet
Se reporter à la page suivante.