Les pirates font de la musique non sucrée avec la redirection Spin.com

[ware_item id=33][/ware_item]

Les pirates font de la musique non sucrée avec la redirection Spin.com


Le 27 octobre, des chercheurs en sécurité de Symantec ont découvert que Spin.com redirigeait les visiteurs vers le kit d'exploitation Rig, via un iframe injecté.

Les visiteurs du site d'actualités et de critiques musicales redirigés ont donc été infectés par la suite par un ensemble de logiciels malveillants.

Dans un article de blog, le chercheur de Symantec Ankit Singh a déclaré que le kit d'exploitation Rig avait tiré parti de deux vulnérabilités d'exécution de code à distance (RCE) de Microsoft Internet Explorer (CVE-2013-2551 et CVE-2014-0322), Adobe Vulnérabilité Flash Player RCE (CVE-2014-0497), vulnérabilité Microsoft Silverlight Double Deference RCE (CVE-2013-0074), vulnérabilité de corruption de mémoire Oracle Java SE (CVE-2013-2465), environnement d'exécution Java distant Oracle Java SE vulnérabilité d'exécution de code (CVE-2012-0507) et vulnérabilité de divulgation d'informations dans Microsoft Internet Explorer (CVE-2013-7331).

Une fois l'exploitation de l'une de ces vulnérabilités réussie, une charge utile chiffrée XOR serait téléchargée sur l'ordinateur de la victime. Le kit d'exploitation abandonnerait alors une variété de méchants, y compris des téléchargeurs et des voleurs d'informations tels que Infostealer.Dyranges et le célèbre cheval de Troie bancaire Zeus.

Des recherches antérieures de Symantec ont révélé comment le kit d'exploitation Rig peut également supprimer Trojan.Pandex, Trojan.Zeroaccess, Downloader.Ponik, W32.Waledac.D et le ransomware Trojan.Ransomlock.

Bien que Spin.com ne soit plus compromis, l'attaque peut avoir affecté un grand nombre de visiteurs car le site est classé parmi les 7000 plus visités sur le Web, selon Alexa. Avec un classement Alexa d'environ 2 800 aux États-Unis, les visiteurs de cette région peuvent avoir été particulièrement à risque, d'autant plus que Symantec a déclaré ne pas savoir depuis combien de temps Spin.com avait été compromis avant sa découverte..

En parlant à SCMagazine, Singh a déclaré que l'iframe injecté avait redirigé les visiteurs vers une page de destination très obscurcie pour le kit d'exploitation Rig, mais il ne savait pas comment le site Web était initialement compromis..

Il a poursuivi en disant que lorsque l'utilisateur est arrivé sur la page de destination, le kit d'exploitation chercherait d'abord à contourner tout logiciel de sécurité sur son ordinateur avant de rechercher des plugins particuliers qu'il pourrait ensuite exploiter..

Singh a ajouté que «Infostealer.Dyranges vérifie l'URL dans le navigateur Web pour les services bancaires en ligne et intercepte le trafic entre l'utilisateur et ces sites; il peut alors voler des noms d'utilisateur et des mots de passe entrés dans les formulaires de connexion de ces sites et les envoyer à des emplacements distants. Trojan.Zbot rassemblera une variété d'informations sur l'ordinateur infecté, ainsi que le nom et les mots de passe des utilisateurs, qu'il renverra au serveur [de commande et de contrôle]. Cela ouvre également une porte dérobée à travers laquelle les attaquants peuvent effectuer diverses actions. »

Singh a conclu que la façon dont le kit d'exploitation s'exécutait était telle qu'un utilisateur d'ordinateur typique ne serait pas au courant de sa présence sur son système.

Selon Symantec, ses produits de sécurité protègent déjà ses utilisateurs contre une telle attaque et il devrait en être de même pour toutes les autres marques réputées de logiciels de sécurité. Nous conseillons toutefois à tous les utilisateurs de veiller à ce que leur logiciel de sécurité soit tenu à jour afin de les protéger des menaces les plus récentes.

Les pirates font de la musique non sucrée avec la redirection Spin.com
admin Author
Sorry! The Author has not filled his profile.