Index du Forum
Se connecter pour vérifier ses messages privés
Les cybercriminels surfent sur l’attentat de Boston pour infecter les internautes


 
Poster un nouveau sujet   Répondre au sujet     Index du Forum » Administration » Info Flasch sécurité » Divers Informatique Sujet précédent :: Sujet suivant  
Les cybercriminels surfent sur l’attentat de Boston pour infecter les internautes
 MessagePosté le: Mer 17 Avr - 19:31 (2013) Répondre en citant  
Message
  nenette58
Administrateurs WSI
Administrateurs WSI


Hors ligne

Inscrit le: 01 Nov 2008
Messages: 3 843
Niveau Général Informatique:
Estimation Protection:
Navigateur: FireFox
Féminin Cancer (21juin-23juil) 狗 Chien
Point(s): 4 310
Moyenne de points: 1,12
Version Pack: Gratuite
Autre: MalwareBytes+Zemana

PublicitéSupprimer les publicités ?
Sans retenue pour cette tragédie, les cybercriminels utilisent l’attentat de Boston pour infecter les internautes. Le G Data SecurityLab a étudié une vague de spam démarrée ce matin dont le but est l’infection massive de systèmes à partir de sites web proposant des vidéos de l’attentat. Détails de cette attaque.

Une vague de spam utilise la tragédie de l’attentat de Boston pour infécter les internautes. Cette attaque prend source dans une série de spams proposant des liens vers des sites renfermant des vidéos soit-disant exclusives des explosions de l’attentat de Boston.

1/ Le lien e-mail conduit à un site avec des vidéos YouTube

2/ Cinq vidéos sont réelles, la sixième ne l’est pas ...

3 /Toutes les vidéos (la sixième inclue) sont intégrées via iframe.

4/ La sixième iframe consiste en un code HTML qui déclenche une applet Java. Cette applet java est exécutée et les systèmes équipés de Java Version 7 mise à jour 11, sont vulnérables !

5/ En restant plus de 60 secondes sur le site Internet, l’internaute est redirigé vers une page spécifique (http:. / / IP-address.com / boston.avi _______ exe)

6/ Les analyses G Data montrent qu’à cet instant cette redirection ne déclenche pas d’action spécifique, mais rien ne dit qu’elle ne le fera pas à l’avenir.

7/ Dans le cas où le système est vulnérable à la faille Java : L’applet Java exploite la vulnérabilité et envoie la charge infectieuse au système.

8/ Deux URLs différentes ont été identifiées lors de l’analyse, avec deux actions malveillantes distinctes :

Infection 1 :

1/ La charge utile nommée newbos3.exe est exécutée sur le système

2/ Ce code nuisible vole les mots de passe s’ils sont stockés de manière non chiffrée. Firefox et Filezilla sont clairement ciblés dans cette attaque, mais cette liste n’est pas exhaustive.

3/ Le code lit aussi tout le trafic réseau. Signification : Si des données sont envoyées en clair sur le réseau, le malware de capte.

4/ L’analyste G Data commente : la partie du malware qui analyse le trafic réseau est très importante, plus de 800 kilo-octets.

5/ Le malware se connecte « à la maison ». Il se connecte à un serveur prédéfini et y envoie des données cryptées. Si ces données n’ont pour le moment pas été décryptées par le G Data Security Lab, il est fort à parier que les mots de passe volés et les informations du réseau transitent dans cette communication.

6/ Le code malveillant envoie du spam. Le même spam à l’origine de l’infection est envoyé via l’ordinateur infecté.

7/ Actuellement, le type de destinataires utilisés dans cet envoi n’a pas été identifié. Vole-t-il le carnet d’adresses de l’utilisateur ou reçoit-il des adresses email du serveur ?

Infection 2 :

1/ Quelques minutes après l’infection, l’ordinateur est verrouillé par ransomware (dans notre exemple GVU Trojan, mais la page est changée en fonction de la localisation de la victime).

2/ Donc, au premier plan, l’utilisateur est bloqué et ne peut plus rien faire.

3/ En tâche de fond, le spam bot commence son travail (envoi du spam source de l’infection) .

4/ Aucune action de vol de mot de passe n’a été détectée dans cette seconde attaque.

Source GlobalSecurityMag


Nul n'a autant besoin d'un sourire que celui qui n'en a pas à donner.





Les cybercriminels surfent sur l’attentat de Boston pour infecter les internautes
 MessagePosté le: Aujourd’hui à 09:32 (2017)  
Message
  Contenu Sponsorisé







Poster un nouveau sujet   Répondre au sujet     Index du Forum » Divers Informatique

Page 1 sur 1
Toutes les heures sont au format GMT - 1 Heure

Montrer les messages depuis:

  

Sauter vers:  

Portail | Index | Creer un forum | Forum gratuit d’entraide | Annuaire des forums gratuits | Signaler une violation | Conditions générales d'utilisation
Powered by phpBB © 2001, 2017 phpBB Group Traduction par : phpBB-fr.com