Compromission Du Portail De La Banque Chaix

Forums ZATAZ > Logiciels, OS, Internet & Sécurité > VIRUS : Aide et conseils sur les malwares (vers, trojans, spywares, hijack)

Compromission Du Portail De La Banque Chaix, Exploits, Blackhole, Fake, FakeAV, Rogues Security Software

Options

CybStup Voir le profil	Jan 3 2013, 07:52 PM Message #1
Accro à ZATAZ Groupe : Modérateur ZATAZ Messages : 431 Inscrit : 12-January 08 Lieu : Darknet Membre n^o 4,034	Quelques explications concernant la compromission de la banque Chaix. Code nic-hdl: BC3757-FRNIC type: ORGANIZATION contact: BANQUE CHAIX address: 43, rue Jean Jaures address: 84027 Avignon country: FRANCE e-mail: [email protected] ns-list: NSL10818-FRNIC nserver: ns1.banquepopulaire.fr [217.167.134.228] nserver: ns2.banquepopulaire.fr [84.14.108.228] nserver: dns2.french-connexion.com nserver: dns4.french-connexion.com Serveur Apache, portail avec CMS TYPO3 4.2. TYPO appel ses templates via des balises de scripts. Ces scripts étaient infectés par des codes malveillants. Avant l'attaque, le script anim.js était de 650 octets. - http://www.banque-chaix.fr/fileadmin/templates/js/anim.js Pendant l'attaque de la banque, le script faisait 4128 octets. Le code malveillant a été ajouté à la fin logique du fichier. Ci-dessous, le code ajouté EOF. Une fois dé-obfusqué, RELIABLYREBROADCAST.ORG (146.185.255.83) Domaine enregistré chez Internet.bs Corp. le 3 Janvier 2013 à 09:29:16 UTC Code Name Server: NS1.DNSDOM1.COM Name Server: NS2.DNSDOM1.COM Registrant Name: Crissy Stasyszyn Registrant Street1: 31 E 79th St Registrant City: New York Registrant Postal Code: 10075 Registrant Country: US Registrant Email: [email protected] L'IP 146.185.255.83 appartient à Sergeev Sergei Yurievich PE, tristement connu pour couvrir les cybercriminels. La page feed.php redirige vers un BlackHole. Code Server: Apache/2.2.16 (Debian) X-Powered-By: PHP/5.3.3-7+squeeze14 Location: http://mdspgesfb.sellclassics.com/decides/lot_technique.php Si la page est ré-actualisée alors autre redirection: - http://ad.zautoclick.com/adsn.php?uid=56 Le domaine ZAUTOCLICK.COM (96.44.139.222) a été acheté le 27 décembre 2012. Code Mahmud Perlov Email: [email protected] Organization: private person Address: Voronova 37-48 City: Hohlovka State: Voronezskaja ZIP: 589382 Country: RUSSIA Le but étant de limiter le parcours, une unique visite seulement. Sellclassics utilise le Dynamic DNS du service ChangeIP ce qui permet de recycler et ne pas se faire bannir l'hôte, néanmoins les urls observées pointent toutes sur l'IP 146.185.255.78 qui appartient également à Sergeev Sergei Yurievich PE. Je ne détaillerai pas les exploits de BlackHole car c'est inutile. Si la machine est vulnérable, le payload sera exécuté discrètement. Comment savoir si votre ordinateur a été infecté ? Si vous avez des messages d'alertes sur Windows ou des anomalies. Si rien ne se manifeste, vous pouvez toujours vérifier si vous avez une ligne similaire à: Lancez HijackThis et cliquez sur "Scan". O4 - HKCU\..\RunOnce: [ABCDEFGHIJKLMNOPQRSTUVWXYZ01234] C:\Documents and Settings\All Users\Application Data\ABCDEFGHIJKLMNOPQRSTUVWXYZ01234\ABCDEFGHIJKLMNOPQRSTUVWXYZ01234.exe nb: Ici, ABCDEFGHIJKLMNOPQRSTUVWXYZ01234 est utilisé comme exemple. Concernant la partie un peu plus technique pour ceux qui s'intéressent aux payloads, il s'agit de programmes exécutables pour Microsoft Windows d'un peu plus 550 Ko régulièrement modifiés afin d'éviter les détections. La première couche écrite en Visual C++ agit comme une protection et permet de dissimuler la nature de la véritable menace. L'icône du packer est un cylindre composé de 3 cercles bleu. Plusieurs techniques (anti) empêchent les analyses ; une fois la première couche retirée on obtient un PE packé PEC2 de 426 496 octets se faisant passer pour l'application "Personal Solutions" ("psc.exe"). Le faux logiciel de sécurité (FakeAV) nommé "System Progressive Protection" apparait à l'écran et commence à effrayer les utilisateurs avec des messages alarmistes. KILOPAYBILLING.COM (85.114.131.4), IP appartenant à Fibre One. MiltechPoint LTD Mathew Shafer ([email protected]) 3087 Old Dear Lane Brooklyn NY,14140 US Quoi qu'il arrive, NE PAYEZ JAMAIS ! L'attaque et la charge ne semble pas ciblée, heureusement... La banque mène ses propres investigations sur ses installations. Le portail de la banque affiche un message à destination de ses clients. Votre site Banque Chaix est actuellement en maintenance Pour plus d'informations, vous pouvez vous rapprocher de votre Conseiller. L'accès à vos comptes en ligne Chaix Cyberplus reste disponible. Merci de votre compréhension. En espérant que ce résumé vous aidera à mieux comprendre cet incident. Cordialement, -------------------- Come crawling faster, Obey your Master, Your fife burns faster, Obey your Master, Master Master of puppets I'm pulling your strings, Twisting your mind and smashing your dreams, Blinding by me you can's see a thing, Just call my name cause i'll hear you scream Master, Master.. До скорой встречи - Пока!