Les campagnes de malvertising continuent, pendant que celle visant à pousser le ransomware Cerber persistent : Malvertising Uptobox poussant Cerber Pour rappel, le but ici est de proposer des publicités qui ont pour but de rediriger les internautes vers des Web Exploit afin d’infecter les ordinateurs. En l’occurence ici, il s’agit […]

Le 26 Février, soit presque 2 mois, j’ai été en copie d’un mail envoyé par Kafeine d’un incident concernant des malvertising. Il s’agit ici d’une régie publicitaire dont le programme publicitaire (openx) a été piraté afin d’opérer des redirections vers un Web Exploit et infecter l’ordinateur des visiteurs. L’incident initial :

Si vous suivez les alertes Flash et autres plugins de vos navigateurs WEB, vous avez pu lire qu’une vulnérabilité 0-day touchaient Adobe Flash, il y a quelques jours : Vulnérabilités Player Flash et Shockwave Player. La version 21.0.0.213 d’Adobe Flash corrige cette vulnérabilité. Trend-Micro et F-Secure ont émis deux alertes concernant des […]

Ca faisait longtemps que je n’avais pas posté une campagne de malvertising, même si celle-ci reste fréquente, notamment dernièrement pour pousser le ransomware TeslaCrypt Cette fois-ci ce ne sont pas les réseaux publicitaires PopAds, PopCash ou Adsterra qui sont touchés, mais les réseaux adnetworkperformance et tradeadexchange qui sont liés à AdCash. […]

I notice an icrease of the « generics attacks » on my website for the last days : https://www.malekal.com/modsec/ (blue line on the first graph). A check show that some RFI attacks icreases. few days ago : https://www.malekal.com/modsec/index.php?ip=1.224.163.80 https://www.malekal.com/modsec/index.php?ip=71.6.150.241 Last attacks : https://www.malekal.com/modsec/index.php?ip=46.252.18.54 https://www.malekal.com/modsec/index.php?ip=95.168.199.227 All the attacks against my websites (42 distinct […]

Got a ping from ESET for a malvertising in the wild. Found this in tubecup.org : Domain Name:ADVERSTINGSHARE.ORG Domain ID: D171684869-LROR Creation Date: 2014-03-29T17:42:40Z Updated Date: 2014-03-31T08:21:18Z Registry Expiry Date: 2015-03-29T17:42:40Z Sponsoring Registrar:PDR Ltd. d/b/a PublicDomainRegistry.com (R27-LROR) Sponsoring Registrar IANA ID: 303 The malicious redirection lead to an Angler EK, […]

Je regardais les logs modsec de quelques serveurs, celui-ci a attiré mon attention : Une machine OVH 91.121.87.116 qui tente une attaque PHP-CGI (CVE-2012-1823 ), le script complet est disponible là : http://pjjoint.malekal.com/files.php?read=20140331_g13q9u5i11j6 Ce dernier test les connexions SSH, le script a pour but de dropper un shell sur la machine victime. Un […]

La fin de support de Windows XP approche et les questions commencent à fleurir sur les forums. Voici une page qui je l’espère répondra aux questions que vous vous posez. Qu’est-ce que la fin de support ? La fin de support signifie que l’éditeur arrête le support plus la version du […]

Yesterday, i tweet about a W32/Boaxxe on scamadviser.com btw, not bad 🙂 Check it again this morning – Java want to be loaded : Payload : Same URLs – as you can see, there is an iframe, act like an ads banner. pixiepixie.com load a SWF banner. The frame of […]

Found this on http://www.alldirtyteens.com/ –  seems to target US. http://ad.aduserver.com/www/delivery/spcjs.php?id=41&block=1&blockcampaign=1&target=_blank http://ad.aduserver.com/www/delivery/spc.php?zones=122%7C123%7C124%7C125%7C126%7C127%7C128%7C129%7C130&source=&r=48221909&block=1&blockcampaign=1&target=_blank&charset=utf-8&loc=http%3A//www.alldirtyteens.com/hosted-id841-perfect-pussy-and-body-for-a-fuck.html&referer=http%3A//realhomesex.net/leftads.html http://ad.aduserver.com/www/delivery/fl.js http://dimecut.eu/5b22f446.js?cp=ad.aduserver.com Domain Name: ADUSERVER.COM Registrar: KEY-SYSTEMS GMBH Whois Server: whois.rrpproxy.net Referral URL: http://www.key-systems.net Name Server: NS0.TRANSIP.NET Name Server: NS1.TRANSIP.NL Name Server: NS2.TRANSIP.EU Status: ok Updated Date: 11-feb-2013 Creation Date: 10-feb-2010 Expiration Date: 10-feb-2014 Registrant Contact: P-JUG1066 Registrant Organization: Registrant […]

Vu sur twitter par CyberProtect – generation-nt.com diffusant du contenu malicieux (277 FR sur Alexa.com). Le contenu malicieux est encore diffusé au moment où sont écrites ces lignes. Un petit tour dessus et on obtient ceci : La redirection vers l’exploit kit et la tentative d’exécution du dropper – la redirection […]

Une campagne de Spam malicieux a actuellement lieu tirant parti de la tragédie de Boston. Les mails contiennent seulement des liens de ce type : http://178.137.120.224/news.html http://95.87.6.156/news.html http://188.2.164.112/boston.html http://178.137.120.224/news.html http://46.233.4.113/boston.html http://94.28.49.130/boston.html qui conduisent à des pages avec des vidéos Youtube de la tragédie. La page contient aussi une iframe qui […]

J’ai eu une redirection vers un exploit kit depuis le site uptobox. Difficile de dire si c’est un hack ou une malvertising. Uptobox ~1,4k sur Alexa.com La redirection est faite vers l’adresse : http://cd02b550f884ab9a0140291303231107611950953ca0f4a7bd69b3e2a314f31.aalter.woonplaatsen.be/sort.php => http://malwaredb.malekal.com/index.php?hash=9ca72727085f88b9a6d7e9303eaea5f5 https://www.virustotal.com/fr/file/778de981642d93e5a92f23f80e39987c88122de3ea4686ef05a290f9f700cc97/analysis/1364037630/ SHA256: 778de981642d93e5a92f23f80e39987c88122de3ea4686ef05a290f9f700cc97 Nom du fichier : 2010735.exe Ratio de détection : 1 / 46 […]

Une autre malvertising via une applet SWF sur redir.ballysbs.com Domain Name: BALLYSBS.COM Registrar: ENOM, INC. Whois Server: whois.enom.com Referral URL: http://www.enom.com Name Server: NS1.AFRAID.ORG Name Server: NS1.FREEDNS.WS Name Server: NS2.AFRAID.ORG Name Server: NS2.FREEDNS.WS Status: clientTransferProhibited Updated Date: 11-dec-2012 Creation Date: 08-dec-2012 Expiration Date: 08-dec-2013 Registrant Contact: Private John Young () Fax: […]