Les campagnes de malvertising continuent, pendant que celle visant à pousser le ransomware Cerber persistent : Malvertising Uptobox poussant Cerber Pour rappel, le but ici est de proposer des publicités qui ont pour but de rediriger les internautes vers des Web Exploit afin d’infecter les ordinateurs. En l’occurence ici, il s’agit […]

Le 26 Février, soit presque 2 mois, j’ai été en copie d’un mail envoyé par Kafeine d’un incident concernant des malvertising. Il s’agit ici d’une régie publicitaire dont le programme publicitaire (openx) a été piraté afin d’opérer des redirections vers un Web Exploit et infecter l’ordinateur des visiteurs. L’incident initial :

Si vous suivez les alertes Flash et autres plugins de vos navigateurs WEB, vous avez pu lire qu’une vulnérabilité 0-day touchaient Adobe Flash, il y a quelques jours : Vulnérabilités Player Flash et Shockwave Player. La version 21.0.0.213 d’Adobe Flash corrige cette vulnérabilité. Trend-Micro et F-Secure ont émis deux alertes concernant des […]

Ca faisait longtemps que je n’avais pas posté une campagne de malvertising, même si celle-ci reste fréquente, notamment dernièrement pour pousser le ransomware TeslaCrypt Cette fois-ci ce ne sont pas les réseaux publicitaires PopAds, PopCash ou Adsterra qui sont touchés, mais les réseaux adnetworkperformance et tradeadexchange qui sont liés à AdCash. […]

I notice an icrease of the « generics attacks » on my website for the last days : https://www.malekal.com/modsec/ (blue line on the first graph). A check show that some RFI attacks icreases. few days ago : https://www.malekal.com/modsec/index.php?ip=1.224.163.80 https://www.malekal.com/modsec/index.php?ip=71.6.150.241 Last attacks : https://www.malekal.com/modsec/index.php?ip=46.252.18.54 https://www.malekal.com/modsec/index.php?ip=95.168.199.227 All the attacks against my websites (42 distinct […]

Got a ping from ESET for a malvertising in the wild. Found this in tubecup.org : Domain Name:ADVERSTINGSHARE.ORG Domain ID: D171684869-LROR Creation Date: 2014-03-29T17:42:40Z Updated Date: 2014-03-31T08:21:18Z Registry Expiry Date: 2015-03-29T17:42:40Z Sponsoring Registrar:PDR Ltd. d/b/a PublicDomainRegistry.com (R27-LROR) Sponsoring Registrar IANA ID: 303 The malicious redirection lead to an Angler EK, […]

Je regardais les logs modsec de quelques serveurs, celui-ci a attiré mon attention : Une machine OVH 91.121.87.116 qui tente une attaque PHP-CGI (CVE-2012-1823 ), le script complet est disponible là : http://pjjoint.malekal.com/files.php?read=20140331_g13q9u5i11j6 Ce dernier test les connexions SSH, le script a pour but de dropper un shell sur la machine victime. Un […]

La fin de support de Windows XP approche et les questions commencent à fleurir sur les forums. Voici une page qui je l’espère répondra aux questions que vous vous posez. Qu’est-ce que la fin de support ? La fin de support signifie que l’éditeur arrête le support plus la version du […]

Yesterday, i tweet about a W32/Boaxxe on scamadviser.com btw, not bad 🙂 Check it again this morning – Java want to be loaded : Payload : Same URLs – as you can see, there is an iframe, act like an ads banner. pixiepixie.com load a SWF banner. The frame of […]

Found this on http://www.alldirtyteens.com/ –  seems to target US. http://ad.aduserver.com/www/delivery/spcjs.php?id=41&block=1&blockcampaign=1&target=_blank http://ad.aduserver.com/www/delivery/spc.php?zones=122%7C123%7C124%7C125%7C126%7C127%7C128%7C129%7C130&source=&r=48221909&block=1&blockcampaign=1&target=_blank&charset=utf-8&loc=http%3A//www.alldirtyteens.com/hosted-id841-perfect-pussy-and-body-for-a-fuck.html&referer=http%3A//realhomesex.net/leftads.html http://ad.aduserver.com/www/delivery/fl.js http://dimecut.eu/5b22f446.js?cp=ad.aduserver.com Domain Name: ADUSERVER.COM Registrar: KEY-SYSTEMS GMBH Whois Server: whois.rrpproxy.net Referral URL: http://www.key-systems.net Name Server: NS0.TRANSIP.NET Name Server: NS1.TRANSIP.NL Name Server: NS2.TRANSIP.EU Status: ok Updated Date: 11-feb-2013 Creation Date: 10-feb-2010 Expiration Date: 10-feb-2014 Registrant Contact: P-JUG1066 Registrant Organization: Registrant […]

Vu sur twitter par CyberProtect – generation-nt.com diffusant du contenu malicieux (277 FR sur Alexa.com). Le contenu malicieux est encore diffusé au moment où sont écrites ces lignes. Un petit tour dessus et on obtient ceci : La redirection vers l’exploit kit et la tentative d’exécution du dropper – la redirection […]

Une campagne de Spam malicieux a actuellement lieu tirant parti de la tragédie de Boston. Les mails contiennent seulement des liens de ce type : http://178.137.120.224/news.html http://95.87.6.156/news.html http://188.2.164.112/boston.html http://178.137.120.224/news.html http://46.233.4.113/boston.html http://94.28.49.130/boston.html qui conduisent à des pages avec des vidéos Youtube de la tragédie. La page contient aussi une iframe qui […]

J’ai eu une redirection vers un exploit kit depuis le site uptobox. Difficile de dire si c’est un hack ou une malvertising. Uptobox ~1,4k sur Alexa.com La redirection est faite vers l’adresse : http://cd02b550f884ab9a0140291303231107611950953ca0f4a7bd69b3e2a314f31.aalter.woonplaatsen.be/sort.php => http://malwaredb.malekal.com/index.php?hash=9ca72727085f88b9a6d7e9303eaea5f5 https://www.virustotal.com/fr/file/778de981642d93e5a92f23f80e39987c88122de3ea4686ef05a290f9f700cc97/analysis/1364037630/ SHA256: 778de981642d93e5a92f23f80e39987c88122de3ea4686ef05a290f9f700cc97 Nom du fichier : 2010735.exe Ratio de détection : 1 / 46 […]

Une autre malvertising via une applet SWF sur redir.ballysbs.com Domain Name: BALLYSBS.COM Registrar: ENOM, INC. Whois Server: whois.enom.com Referral URL: http://www.enom.com Name Server: NS1.AFRAID.ORG Name Server: NS1.FREEDNS.WS Name Server: NS2.AFRAID.ORG Name Server: NS2.FREEDNS.WS Status: clientTransferProhibited Updated Date: 11-dec-2012 Creation Date: 08-dec-2012 Expiration Date: 08-dec-2013 Registrant Contact: Private John Young () Fax: […]

Vu en commentaire à l’instant, une personne qui rapporte avoir été infecté par Urausy sur le site alpha-romeo : https://www.malekal.com/2013/02/08/urausy-nouveau-skin-avec-logo-hadopi/#comment-6882 Le site est ranké 60 en France sur Alexa.com A la visite, une popup de pub TitanPoker. Cette popup était aussi présente sur le site chartsinfrance et redirige vers l’exploitkit à […]

Got it from Warez Website with a clicksor advertising that lead to banner.fastclickout24.com and fr.couponhit.com : fr.couponhit.com loads tradedoubler.com stuffs :  tradedoubler.com redirect to ecs-fr.kelkoo.fr  then ecs-fr.kelkoo.fr redirect to jump.beezup.com  finally to advert for expecity.com (legitim shop website) : On expecity.com we got a javascript with functionjs.com (88.198.51.123) inetnum: 88.198.32.0 – […]

After a break in adf.ly malvertising campainn (looks like the ransomware Gema disapear : https://www.malekal.com/2012/03/13/malvertising-adf-ly-ransomware-sacem-police-nationale/ ). A new one : http://abi.fm/news.php (72.167.232.75 – GO-DADDY-COM-LLC) make the redirections to the ExploitKit : http://marioneses.info/pics/site.php?articles=313&blogs=276&reports=898&problems=477&demo=46&skin=664 (66.225.241.35 – NET-66-225-192-0-1) http://marioneses.info/pics/UPCYURJ http://www.facebook.com/plugins/like.php?api_key=&locale=en_US&sdk=joey&channel_url=http%3A%2F%2Fstatic.ak.facebook.com%2Fconnect%2Fxd_arbiter.php%3Fversion%3D18%23cb%3Df8f8d72465282%26origin%3Dhttp%253A%252F%252Fabi.fm%252Ff552b0abf08c14%26domain%3Dabi.fm%26relation%3Dparent.parent&href=http%3A%2F%2Fwww.facebook.com%2FAbiAnnMusic&node_type=link&width=450&layout=button_count&colorscheme=light&show_faces=false&send=true&extended_social_context=false http://marioneses.info/pics/mEoBGU http://marioneses.info/pics/dmiFd http://static.ak.fbcdn.net/rsrc.php/v2/y4/r/sIl0tzs2AD6.js http://marioneses.info/pics/dmiFd http://marioneses.info/pics/mEoBGU http://marioneses.info/usage.php?shim=668&promotion=13&image=437&london=1261&redir=103&comp=349&title=630&left=545&my1up=6&arts=921 The dropper : https://www.virustotal.com/file/321637379782a5fcef8b64ed68d6717c84011625dbd80a71c3d05268c9506b85/analysis/1359975931/ SHA256: 321637379782a5fcef8b64ed68d6717c84011625dbd80a71c3d05268c9506b85 File name: build.exe […]

Exploit sur le site chartsinfrance.net – un site de musique. 40/20k sur Alexa : Le lancement du malware sur le site : La page acutalite/home.html redirige vers l’exploit kit : http://rmckksq.wikaba.com/laneesus.php?dingagen=322835  (78.110.62.93 – RU) Dans mon cas, Trojan.Necurs – mais on peux aussi ramasser du ransomware.    La détection est […]

After adf.ly – Malvertising on linkbucksmedia.com http://www.linkbucksmedia.com/director/17e59c12ddc89d34e0854b309217aa4e32edb06b http://www.80worldnewstoday.info/ (80.82.64.250) http://blackguywantsicecream.no-ip.org/these/varied-representing_convenient.php (89.248.164.221) both are at NL-ECATEL hoster. The Exploit kit at http://blackguywantsicecream.no-ip.org/these/varied-representing_convenient.php (89.248.164.221) svchost.exe so Smokebot / Gamarue  1358336149.103 561 192.168.1.27 TCP_MISS/400 294 POST http://bighecks.net/http/image.php – DIRECT/217.23.4.155 text/html 1358336150.371 154 192.168.1.27 TCP_MISS/404 1561 POST http://imageshells.com/admin/image.php – DIRECT/217.23.4.107 text/html 1358336151.458 1057 192.168.1.27 TCP_MISS/200 […]

Une malvertising un peu originale sur le site de streaming pornographique x3xtube (environ 10K sur Alexa). C’est la bannière à droite Kinky Adult Toys : Le site renvoie vers adultmediatoys.com qui se charge de renvoyer vers http://wlroxe.changeip.name/iniframe/f230e4d6764cef153644d47b957d67b0/99/a622a8d7c2e72d2b16dffab2dd4b8af3/11aedd0e432747c2bcd97b82808d24a0 Ce dernier renvoie vers différentes pages de http://bdvufzglo.changeip.name via des iframes  :  Les […]

dreamamateurs.com (~4000 on Alexa) leads to two differents Exploits Web. below the header, a Javascript that loads a remote javascript on jsmeta.com (213.229.69.42). it loads the Exploit kit throught an iframe. The Exploit kit URLs : http://dworddb.com/akThrY133st045q10eTsI0ta5x06e1A0I1tL0DpKo0ytTm109Aj0A3J704wvi0wSOS0BoCc0udb10sAqd (91.201.215.173) http://dworddb.com/akThrY133st045q10eTsI0ta5x06e1A0I1tL0DpKo0ytTm109Aj0A3J704wvi0wSOS0BoCc0udb10sAqd/ http://dworddb.com/akThrY133st045q10eTsI0ta5x06e1A0I1tL0DpKo0ytTm109Aj0A3J704wvi0wSOS0BoCc0udb10sAqd/arAlSIS.jar http://dworddb.com/akThrY133st045q10eTsI0ta5x06e1A0I1tL0DpKo0ytTm109Aj0A3J704wvi0wSOS0BoCc0udb10sAqd/arAlSIS.jar http://dworddb.com/akThrY133st045q10eTsI0ta5x06e1A0I1tL0DpKo0ytTm109Aj0A3J704wvi0wSOS0BoCc0udb10sAqd/arAlSIS.jar http://dworddb.com/akThrY133st045q10eTsI0ta5x06e1A0I1tL0DpKo0ytTm109Aj0A3J704wvi0wSOS0BoCc0udb10sAqd/arAlSIS.jar http://dworddb.com/BFJYDH06Kh40NPpW0J40k0ZS270KfE30XzDk0Msjm04lNc07dmP0XrJi06wud0khHJ15cJP0wlvT0dpAk15mPf0b6Nj0BAnm0d7LA0YvwT0Lwx60P4aK0TcQu05Cd50gENB02DBx0DlTB0QjiF0gcA20cyAn0HucU0uXh8/getmyfile.exe?o=1&h=11 According Kaspersky, it’s a Tepfer so  […]

  EDIT : Juin 2013 – Malwarebytes a racheté ZeroVulnerability ExploitShield – Le lien donné ci-dessous n’est donc plus bon => https://forum.malekal.com/malwarebytes-anti-exploit-t43783.html   Vu sur le forum : https://forum.malekal.com/outil-pour-bloquer-les-attaques-exploitant-les-t40492.html Le programme suivant a pour but de bloquer les Exploits sur site WEB. Il est gratuit et peux être accouplé à un […]

Already post one by the past : https://www.malekal.com/2012/04/18/panel-virus-gendarmerie-ratio-0-36/ Here two differents one from an active server. Silence Locker is with Reveton and Multi-Locker with of the most active  fake police ransomware. v5.0 – already posted by Xylitol : http://www.xylibox.com/2012/10/silence-winlocker-50.html Stats : Bots :   Vouchers :  Pictures settings : Second […]

Just got a nice Malvertising from clicksor via plugcrush and adultadworld on a Warez website : http://serw.clicksor.com/newServing/links.php?zone=0&chad=1&adu=2&cs=&adtype=0&nid=1&sid=240866&pid=158704&spid=0&image=2&memkey=21ef288088acf517e987cc9c5dce85d9&durl=http%3A%2F%2Ftinyurl.com%2Fd5vnmq5&lq=0&lb=145&qp=YF4lKC_7JScg-Scy-yQqJPFjZU4wKSL7KDIg_GpVJSUzICctfX4lLnwjKiL9IzAiKnxiWy0tfCgsIPwnL_4r http://viegmobmi.com/?9d41c876af1aa135efa0cc288c49fe05 http://udkqwktff.ftp1.biz/vd/2;bbac9ceefad9d2cdeab12044a0bbe316 http://koralucpa.info/ http://viegmobmi.com/?9d41c876af1aa135efa0cc288c49fe05 http://ad.koraloguild.info/?529f79e9fe8613c45013718baab7d1a2 http://koraloguild.info/?track=072221289aea340cfe2daa2add5f15fc redirect to : http://pu.plugrush.com/1o1w.js http://pu.plugrush.com/t/1o1w/3305/302e834e1ebe560283f5496e31ab8659/aHR0cDovL2tvcmFsb2d1aWxkLmluZm8vP3RyYWNrPTA3MjIyMTI4OWFlYTM0MGNmZTJkYWEyYWRkNWYxNWZj that redirect to : http://newt7.adultadworld.com/jsc/z5/fm.html?n=607&c=14316&s=30358&d=15&w=1&h=1&z=76146995 http://newt7.adultadworld.com/bar/v16-605/z5/jsc/fmr.html?n=607&c=14316&s=30358&d=15&w=1&h=1&z=76146995 http://cs.adxpansion.com/ads.php?zone_id=86850&type=redirect&q= that redirect to the end ads : qweentits.org as you can see qweentits.org hits a […]

Deux Malvertising, l’une sur adcash et l’autre sur adserve. Adcash est une régie de publicité en Estonie mais probablement tenue par des français. Adcash redirige vers http://girlswebcameras.com/go//p/page.cgi?dcb&lang=french qui redirige vers l’Exploit Kit http://www.adcash.com/script/pop_packcpm.php?k=50c5c041353ff163804.493070&h=afbfa7522538782046116fb516816eaffc9e089a&id=0&ban=163804&r=29405&ref=h&data=&subid= http://girlswebcameras.com/go//p/page.cgi?dcb&lang=french http://fiqaurrakohshan.bounceme.net/r/l/ensures-promptly.php Le malware obtenu est un ransomware qui se propage aussi sur d’autres régies tels que trafficbroker […]

Many users reports malwares on the webshare storage service Uptobox thoses last days. So i take a look. First attempt, a wonderfull loop redirections. it begins bad. but.. in the mess i found a Keitaro TDS : and an other one : The two TDS URls are in fact the […]

Sur ce topic du forum – un internaute qui se plainds de redirections Google : https://forum.malekal.com/redirections-firefox-t41094.html Ce dernier est redirigé vers une page securebrowserupdate.com  Plus loin – ce dernier prétend avoir le problème sur le site franceinfo.fr Puis un nouvel internaute arrive avec les mêmes redirections et dit l’avoir eu […]

This fake Advertising is not really new – i already talked about it on this article (domain freesoftinka.eu) : https://www.malekal.com/2012/07/28/quelques-campagnes-de-malvertising/ (~12 August). For now, it’s spreading well – many porns sites used it.       Below some redirection example to Exploits Kits :   Today look like they have […]

Was able to log-in to an Exploit Kit called Serenity Exploit Pack. Dunno if new but first time i see it so probably new. Directory structures : http://host/index.php?s=xxx  where s= seller ID http://host/files/load/libt.php http://host/files/load/combo.jar Here some screenshots. Browser Stats : Statistics by OS : Statistics by Exploit : Referer : […]