Plus tôt cette semaine de nombreux groupes à AVG commencé à remarquer une vague massive de détections de Exploit Kit Blackhole rapportés par beaucoup de nos utilisateurs. Vers minuit de ce jour, 1,6 millions de détections ont été signalés dans environ 12 heures.
Certains clients nous ont informés que LinkScanner est la détection de Facebook comme un site malveillant. Toutefois, les détections de type réels Exploit Kit Blackhole 2314 étaient le résultat d'annonces malveillants transmis le long d'un service de publicité qui ont été présentées sur les pages Facebook et ceux des autres sites Web. Pour compliquer encore la situation, les opérateurs malveillants qui ont été conçus en utilisant les annonces de certains de leurs annonces avec des fonctionnalités graphiques, la couleur et les caractères qui imitent l'apparence Facebook.
Nous avons reçu les rapports de détection par l'AVG opt-in, automatique «compte rendu» fonction qui rapporte les détections d'utilisateurs AVG plusieurs millions de dollars. Ainsi, environ un pour cent des utilisateurs d'AVG ont été bloqués à partir de contenu grâce à LinkScanner potentiellement malveillants. C'est environ 1,3 million de détections dans les 6 ou 7 premières heures.
Le serveur de publicité fournissant les annonces avaient apparemment été compromis par des intrus qui ont installé les logiciels malveillants Kit Blackhole Exploit. Ce code JavaScript malveillant injecte dans les pages servies depuis le serveur Web compromis. En règle générale, JavaScript associé à d'autres scripts Blackhole saisit malveillant encore un autre serveur afin de compromettre la sécurité des utilisateurs qui visitent le site Web - une attaque de malware drive-by.
Dans ce cas, le serveur Web compromis, agissant comme une base ad-serveur, à condition que le contenu de la publicité pour divers autres sites Web, de sorte pages ont été servis hors de boeuf d.served-now.com et dans les espaces publicitaires des pages de ceux d'autres sites Web. . Suite au compromis de l'ad-serveur, les pages publicitaires il a servi contenait les annonces prévues ainsi que le script exploit Blackhole.
Page du serveur Ad injecté avec Blackhole:
Dans l'image ci-dessus, le code source HTML surligné en bleu est l'original, le contenu prévu de la publicité alors que le texte non mis en valeur est le script Blackhole. Une fois deobfuscated, nous voyons ce que ce script est destiné à faire:
Après avoir testé à différentes fonctionnalités et versions du navigateur Web de visiter le site, l'intention principale de ce script est d'injecter un Iframe dans la page Web actuelle. C'est un peu compliqué, mais cela signifie que le contenu d'une page Web à partir du serveur banner.blawg.ch sera injecté dans une page, par des annonces de bœuf d.served-now.com.
Notez que vous n'avez pas à cliquer sur l'annonce, ou interagir avec elle de quelque façon que pour la fonctionnalité involontaire décrite à partir d'ici, de se produire. Il suffit de visiter une page où de telles annonces sont affichées est suffisant pour déclencher un code malveillant qui pourrait conduire à la fraude par carte de crédit, le vol d'identité et divers logiciels méchant est installé sur l'ordinateur d'un utilisateur Web.
En continuant sur ce chemin de chapelure numériques: la page de banner.blawg.ch ressemble à ceci:
L'information importante ici est la partie surlignée en bleu. Aucun script est impliqué dans l'injecter dans la page plus longtemps et donc pas de faux-fuyants script pour défaire - il se bloque juste tout là-bas dans une Iframe qui appelle une URL à partir d'un fétiche-world.com.
Le mécanisme essentiel sur cette page est l'appel à PluginDetect à la fin de la page, comme on le voit dans le texte surligné en bleu ci-dessus. La valeur de la version installée de Java est assigné à une variable, puis ajouté aux paramètres dans une URL, également au-fetish-world.com. PluginDetect peut détecter différents plugins et add-ons et rapporter les versions installées.
Cette URL redirige vers une page sur un autre serveur - mcooking.info. Cette page appelle un applet Java qui est dépendant de la version (basée sur l'appel précédent PluginDetect) et exploite une vulnérabilité adaptée à la version installée du navigateur de Java pour télécharger et exécuter plusieurs programmes exécutables Windows. Les URL à partir de laquelle ces programmes sont extraites sont décodés par l'applet Java à partir d'un paramètre qui lui est passé, comme l'a souligné dans l'image ci-dessous.
Ainsi, l'injection de script initial dans des publicités le serveur publicitaire a finalement conduit à une attaque par drive-by malware via l'un des exploits Java plusieurs. Les binaires malveillants inclus les robots et les portes dérobées, et quelque chose à faire les méchants plus d'argent - un bouclier AV Security Faux appelé.
Voici quelques captures d'écran de quelques-unes des annonces que les utilisateurs auraient vu dans les pages Web légitimes qui avaient été trafiqués, comme décrit ci-dessus. Ils ne sont pas dans le contexte d'une page Web, où ils ont été intégrés avec les autres éléments de la page.
Le Web AVG Équipe de recherche Menaces enquêté sur un incident similaire en Juillet dans lequel LinkScanner détecté un nombre important de publicités malveillantes sur YouTube.
- L'équipe de recherche Web Menaces
Aucun commentaire:
Enregistrer un commentaire
Nous vous invitons ici à donner votre point de vue, vos informations, vos arguments. Nous refusons les messages haineux, diffamatoires, racistes ou xénophobes, les menaces, incitations à la violence ou autres injures. Merci de garder un ton respectueux et de penser que de nombreuses personnes vous lisent.
La rédaction