Infos

Un système de passerelles dynamiques au service d’une structure criminelle qui organise des attaques via le kit d’exploitation Fiesta

Une structure criminelle rusée, qui sévit depuis plus d’un an déjà, utilise une série d’adresses, de domaines et de passerelles dynamiques afin d’infecter ses victimes avec le kit d’exploitation Fiesta.

Fiesta appartient à la vague de kits d’exploitation qui ont emboîté le pas à Blackhole, un kit d’exploitation qui a peu a peu disparu après l’arrestation de Dmitri Fedotov, son auteur présumé, devenu célèbre sous le pseudonyme Paunch. S’il est vrai que le kit d’exploitation Angler est considéré comme le kit ayant remporté le plus de succès après Blackhole, des kits de second plan comme Nuclear et Fiesta ont également fait parler d’eux et ont infecté un volume considérable d’ordinateurs.

Brad Duncan, expert en sécurité chez Rackspace, une société de gestion dans le nuage, surveille depuis plus d’un an l’activité du groupe qui utilise Fiesta. Dans un billet publié sur le forum de l’institut de sécurité de l’information SANS, il a expliqué que le groupe achemine le trafic depuis les sites compromis via des passerelles ou des domaines de redirection vers le domaine malveillant final qui héberge le kit d’exploitation.

Brad Duncan a baptisé ce groupe "Opérateur de passerelles BizCN" car il utilise exclusivement des domaines achetés sur www.bizcn.com, site d’un service d’enregistrement de nom de domaine chinois. Il explique que les informations sur le service d’enregistrement sont protégées, si bien que personne ne peut connaître l’identité de ceux qui enregistrent les sites des passerelles malveillants, mais tous ces sites correspondent au même moment à une seule et même adresse IP. Actuellement, il s’agit de l’adresse 205[.]234[.]186[.]114. D’après Brad Duncan, plus tôt au cours de ce mois, les domaines malveillants pointaient vers 136[.]243[.]227[.]9. D’après la publication de Brad Duncan, il est probable que l’adresse IP changera à nouveau.

Chaque domaine de passerelle malveillant correspond à un site Internet distinct compromis.

Brad Duncan indique que pour trouver des indices d’infection via cette attaque, "les organisations qui tiennent des journaux pour le proxy Internet peuvent rechercher 136[.]243[.]227[.]9 dans les requêtes HTTP. Ces en-têtes HTTP doivent contenir le champ Referer avec l’adresse du site compromis.

A l’heure actuelle, cette structure utilise Fiesta pour propager des malwares qui se copient dans les dossiers appdata/local des ordinateurs des victimes et qui actualisent les clés de la base de registres pour garantir leur persistance sur les ordinateurs. Le texte de Brad Duncan contient un lien vers une des charges utiles malveillantes utilisées dans le cadre des attaques qu’il étudie. Le malware est classé différemment par chacun des logiciels antivirus repris sur VirusTotal.

D’après Brad Duncan, les chercheurs pourraient être confrontés à des difficultés lors de l’analyse des menaces car il est très difficile de suivre la chaîne complète de l’infection.

Source : Threatpost

Un système de passerelles dynamiques au service d’une structure criminelle qui organise des attaques via le kit d’exploitation Fiesta

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception