Le G Data SecurityLab a étudié une vague de spam démarrée ce matin dont le but est l'infection massive de systèmes à partir de sites web proposant des vidéos de l'attentat de Boston. Détails de cette attaque sans retenue pour cette tragédie
Cette attaque prend source dans une série de spams proposant des liens vers des sites renfermant des vidéos soi-disant exclusives des explosions de l'attentat de Boston.
1/ Le lien e-mail conduit à un site avec des vidéos YouTube
2/ Cinq vidéos sont réelles, la sixième ne l’est pas …
3 /Toutes les vidéos (la sixième inclue) sont intégrées via iframe.
4/ La sixième iframe consiste en un code HTML qui déclenche une applet Java. Cette applet java est exécutée et les systèmes équipés de Java Version 7 mise à jour 11, sont vulnérables !
5/ En restant plus de 60 secondes sur le site Internet, l’internaute est redirigé vers une page spécifique (http:. / / IP-address.com / boston.avi _______ exe)
6/ Les analyses G Data montrent qu’à cet instant cette redirection ne déclenche pas d’action spécifique, mais rien ne dit qu’elle ne le fera pas à l’avenir.
7/ Dans le cas où le système est vulnérable à la faille Java : L'applet Java exploite la vulnérabilité et envoie la charge infectieuse au système.
8/ Deux URLs différentes ont été identifiées lors de l’analyse, avec deux actions malveillantes distinctes :
Infection 1:
1/ La charge utile nommée newbos3.exe est exécutée sur le système
2/ Ce code nuisible vole les mots de passe s’ils sont stockés de manière non chiffrée. Firefox et Filezilla sont clairement ciblés dans cette attaque, mais cette liste n’est pas exhaustive.
3/ Le code lit aussi tout le trafic réseau. Signification : Si des données sont envoyées en clair sur le réseau, le malware de capte.
4/ L'analyste G Data commente : la partie du malware qui analyse le trafic réseau est très importante, plus de 800 kilo-octets.
5/ Le malware se connecte « à la maison ». Il se connecte à un serveur prédéfini et y envoie des données cryptées. Si ces données n’ont pour le moment pas été décryptées par le G Data Security Lab, il est fort à parier que les mots de passe volés et les informations du réseau transitent dans cette communication.
6/ Le code malveillant envoie du spam. Le même spam à l’origine de l’infection est envoyé via l’ordinateur infecté.
7/ Actuellement, le type de destinataires utilisés dans cet envoi n’a pas été identifié. Vole-t-il le carnet d'adresses de l'utilisateur ou reçoit-il des adresses email du serveur ?
Infection 2:
1/ Quelques minutes après l'infection, l'ordinateur est verrouillé par ransomware (dans notre exemple GVU Trojan, mais la page est changée en fonction de la localisation de la victime).
2/ Donc, au premier plan, l'utilisateur est bloqué et ne peut plus rien faire.
3/ En tâche de fond, le spam bot commence son travail (envoi du spam source de l’infection) .
4/ Aucune action de vol de mot de passe n’a été détectée dans cette seconde attaque.