Gootkit est un Trojan Banker très actif depuis 2010. Initialement il s’agit d’un Bootkit reprenant des fonctionnalités du Trojan Zeus depuis il a pas mal évolué pour passer en mode ‘malware FileLess‘. Vers Février 2016, Gootkit vise les banques françaises (source ProofPoint) et effectivement depuis Mars 2016, les campagnes visant la France […]

Les campagnes de malvertising continuent, pendant que celle visant à pousser le ransomware Cerber persistent : Malvertising Uptobox poussant Cerber Pour rappel, le but ici est de proposer des publicités qui ont pour but de rediriger les internautes vers des Web Exploit afin d’infecter les ordinateurs. En l’occurence ici, il s’agit […]

Le ransomware Cerber est une famille de crypto-Ransomware des plus actives en France. Un petit zoom sur les campagnes de ransomwares. Je rappelle qu’il existe des pages génériques sur ce que sont les ransomwares : crypto-Ransomware Ransomwares/Rançongiciels

Le 26 Février, soit presque 2 mois, j’ai été en copie d’un mail envoyé par Kafeine d’un incident concernant des malvertising. Il s’agit ici d’une régie publicitaire dont le programme publicitaire (openx) a été piraté afin d’opérer des redirections vers un Web Exploit et infecter l’ordinateur des visiteurs. L’incident initial :

Si vous suivez les alertes Flash et autres plugins de vos navigateurs WEB, vous avez pu lire qu’une vulnérabilité 0-day touchaient Adobe Flash, il y a quelques jours : Vulnérabilités Player Flash et Shockwave Player. La version 21.0.0.213 d’Adobe Flash corrige cette vulnérabilité. Trend-Micro et F-Secure ont émis deux alertes concernant des […]

Ca faisait longtemps que je n’avais pas posté une campagne de malvertising, même si celle-ci reste fréquente, notamment dernièrement pour pousser le ransomware TeslaCrypt Cette fois-ci ce ne sont pas les réseaux publicitaires PopAds, PopCash ou Adsterra qui sont touchés, mais les réseaux adnetworkperformance et tradeadexchange qui sont liés à AdCash. […]

Les arnaques de support téléphoniques ou « tech scam » en anglais sont de plus en plus courantes. A l’origine, il s’agissait de campagnes téléphoniques se faisant passer pour Microsoft, ces arnaques ont aussi été élargies à des pages WEB bloquant plus ou moins le navigateur WEB et affichant un message indiquant que […]

Some days ago, i help some friend to get their ads network clean up, so i can share some Openx Hacks example. The group behind this hacks is very well know, you cant reconize them by this pattern domain.tld/directory{1,3}/page.js Recently they use Goddady subdomain : https://twitter.com/malekal_morte/status/599227867852054528 Last IPs : https://www.virustotal.com/fr/ip-address/85.143.216.203/information/ https://www.virustotal.com/fr/ip-address/85.143.217.219/information/ https://www.virustotal.com/fr/ip-address/85.143.217.89/information/ […]

filestore321.com et filestore72.info sont des adresses utilisées dans des campagnes pour pirater des forums (notamment de type IPB) afin de rediriger les internautes vers des publicités et gagner de l’argent. Ces publicités ne sont pas malicieuses (bien que parfois, certains programmes pas vraiment utiles sont proposés). Les adresses filestore peuvent […]

Je vais commencer à regarder les publicités mobiles sur les sites pornographiques et autres. Les sujets Browlock sur mobile commencent à arriver. D’autre part, les fausses publicités Java/Flash sont maintenant tombés à un niveau acceptable. Surtout les publicités avec de fausses alertes comme j’en avais déjà parlés : https://www.malekal.com/2014/01/04/publicites-pourries-sur-tablettesmobile/ Mais […]

Got a ping from ESET for a malvertising in the wild. Found this in tubecup.org : Domain Name:ADVERSTINGSHARE.ORG Domain ID: D171684869-LROR Creation Date: 2014-03-29T17:42:40Z Updated Date: 2014-03-31T08:21:18Z Registry Expiry Date: 2015-03-29T17:42:40Z Sponsoring Registrar:PDR Ltd. d/b/a PublicDomainRegistry.com (R27-LROR) Sponsoring Registrar IANA ID: 303 The malicious redirection lead to an Angler EK, […]

Some weeks ago, i send a tweet https://twitter.com/malekal_morte/status/426394544414793728 to popads about a malvertising leading to fake antivirus alert (not new) :     then i tweet this : https://twitter.com/malekal_morte/status/426396235436539904 https://twitter.com/malekal_morte/status/426402975741771776 today i got a new malvertising from adnx : A popup appears with the message « Microsoft Antivirus has found critical process […]

Today i want to write a non-technical article about malvertising in adult wolrd. Im following malvertisings in adult world since the rise of Fake Police Ransomware in France that is probably one of the most big thread for the 3 last years. (My english is not very good, so if […]

Yesterday, i tweet about a W32/Boaxxe on scamadviser.com btw, not bad 🙂 Check it again this morning – Java want to be loaded : Payload : Same URLs – as you can see, there is an iframe, act like an ads banner. pixiepixie.com load a SWF banner. The frame of […]