Annonce du 17. avril 2013

Les attaquants surfent sur l'attentat de Boston pour infecter les internautes

Sans retenue pour cette tragédie, les cybercriminels utilisent l'attentat de Boston pour infecter les internautes. Le G Data SecurityLab a étudié une vague de spam démarrée ce matin dont le but est l'infection massive de systèmes à partir de sites web proposant des vidéos de l'attentat. Détails de cette attaque.

Une vague de spam utilise la tragédie de l'attentat de Boston pour infécter les internautes. Cette attaque prend source dans un Spam proposant le lien vers un site renfermant des vidéos exclusives des explosions de l'attentat de Boston.

1/ Le lien e-mail conduit à un site avec des vidéos YouTube
2/ Cinq vidéos sont réelles, la sixième ne l’est pas ...
3 /Toutes les vidéos (la sixième inclue) sont intégrées via iframe.
4/ La sixième iframe consiste en un code HTML qui déclenche une applet Java. Cette applet java est exécutée et les systèmes équipés de Java  Version 7 mise à jour 11, sont vulnérables !


5/ En restant plus de 60 secondes sur le site Internet, l’internaute est redirigé vers une page spécifique (http:. / / IP-address.com / boston.avi _______ exe)
6/ Les analyses G Data montrent qu’à cet instant cette redirection ne déclenche pas d’action spécifique, mais rien ne dit qu’elle ne le fera pas à l’avenir.
7/ Dans le cas où le système est vulnérable à la faille Java : L'applet Java exploite la vulnérabilité et envoie la charge infectieuse au système.
8/ Deux URLs différentes ont été identifiées lors de l’analyse, avec deux actions malveillantes distinctes :

Infection 1:
1/ La charge utile nommée newbos3.exe est exécutée sur le système
2/ Ce code nuisible vole les mots de passe s’ils sont stockés de manière non chiffrée. Firefox et Filezilla sont clairement ciblés dans cette attaque, mais cette liste n’est pas exhaustive.
3/ Le code lit aussi tout le trafic réseau. Signification : Si des données sont envoyées en clair sur le réseau, le malware de capte.
4/ L'analyste G Data commente : la partie du malware qui analyse le trafic réseau est très importante, plus de 800 kilo-octets.
5/ Le malware se connecte « à la maison ». Il se connecte à un serveur prédéfini et y envoie des données cryptées. Si ces données n’ont pour le moment pas été décryptées par le G Data Security Lab, il est fort à parier que les mots de passe volés et les informations du réseau transitent dans cette communication.
6/ Le code malveillant envoie du spam. Le même spam à l’origine de l’infection est envoyé via l’ordinateur infecté.
7/ Actuellement, le type de destinataires utilisés dans cet envoi n’a pas été identifié. Vole-t-il le carnet d'adresses de l'utilisateur ou reçoit-il des adresses email du serveur ?

Infection 2:
1/ Quelques minutes après l'infection, l'ordinateur est verrouillé par ransomware (dans notre exemple GVU Trojan, mais la page est changée en fonction de la localisation de la victime).


2/ Donc, au premier plan, l'utilisateur est bloqué et ne peut plus rien faire.
3/ En tâche de fond, le spam bot commence son travail (envoi du spam source de l’infection) .
4/ Aucune action de vol de mot de passe n’a été détectée dans cette attaque.

Annonce du 17. avril 2013

Contact Presse

G DATA Software France SARL

Jérôme Granger

Public Relations Manager France

2A, rue Danton

92120 Montrouge

Tél: +33 (0)1 41 48 51 46

Mail: Jerome.granger@remove-this.gdata.fr