Alertes de sécurité en cours Discussion Discussion
Faire un lien Lien
Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée


27.10.2013 Aujourd'hui à la Une
Alerte Java
Attaques : fausses mises à jour

Dernière mise à jour : 2017-02-01T00:00 - 01.02.2017 - 00h00
31.10.2013 - 00h00 - Paris - (Assiste - Pierre Pinard) - Mise à jour - Nouveau serveur de téléchargement

Java - Attaques : fausses mises à jour - Octobre 2013

Assiste.com : Java

Chapitrage

Quelle est ma version actuelle de Java
Installation de Java
Mise à jour de Java
Comment désinstaller Java
Java ou JavaScript ?
La petite histoire de Java
Références Java
Ressources Java
Requêtes similaires Java
L'affaire de la JVM Java de Microsoft

Dossier : Publicité sur le Web

Dossier : Publicité
Dossier : Publicité intrusive

Prévention : Bloquer publicité et tracking
Procédure de blocage de la publicité

Pourquoi la publicité sur le Web
Mécanismes publicitaires d'attaque
Synopsis de la chaîne publicitaire sur le Web
Dispositif inacceptable : les barres d'outils
Dispositif inacceptable : les adwares
Dispositif inacceptable : les Web-Bug
Dispositif inacceptable : la géolocalisation
Dispositif inacceptable : les scripts publicitaires
Dispositif inacceptable : les cookies de tracking
Dispositif inacceptable : les GUID
Dispositif inacceptable : les entêtes requêtes HTTP
Dispositif inacceptable : les boutons sociaux
Dispositif inacceptable : les autres sources
Dispositif inacceptable : le profiling
Dispositif inacceptable : le ciblage comportemental
Dispositif inacceptable : le market comportemental

Les outils anti publicité
AdBlock Plus
AdBlock Edge
Ghostery
Disconnect
DNT (Do Not Track)
Referrer Control
Protection navigateur, navigation, vie privée
NoScript

Décontamination anti-publicités
Procédure de décontamination
Les anti-Adwares
AdwCleaner
Malwarebytes Anti-Malware (MBAM)

La publicité et ses standards sur le Web
Standards dimensionnels selon les techniques
Standards dimensionnels des bannières
Bannières publicitaires - Perception et Contre-mesures
Interstitiels

Mécanismes
Pop-over
Pop-up
Pop-up slider
Pop-Under
Superstitiels
Adwares
Adservers
Web-bug
Tracking
Profiling
Cookies
Cookies de tracking
Capping
Scripts

Autres termes
Publiciel
Publigiciel
Publilogiciel

Usage malveillant des mécanismes publicitaires
Tromperies publicitaires sur le Web
Publicité pour de fausses mises à jour Java
Publicités intempestives
Publicités trompeuses ou mensongères
Drive-by download
Ingénierie sociale

Les textes règlementant la publicité sur le Web
Charte "Publicité Ciblée et Protection des internautes"

Alerte Java - Fausses mises à jour - Octobre 2013Alerte Java - Fausses mises à jour - Octobre 2013Alerte Java - Fausses mises à jour - Octobre 2013

Depuis le début d'octobre 2013, des publicités conduisent à des tentatives d'installations de fausses mises à jour de Java.

Ce n'est pas la première fois (et ce ne sera pas la dernière fois) que ce type d'attaque a lieu. Des attaques ont régulièrement lieu avec ces mises à jour bidon qui sont, en réalité, des implantations de backdoor ou des zombification ou des keylogger ou des spywares, etc. ...

La forme de l'attaque relève de l'habituelle ingénierie sociale (l'internaute est manipulé par un message convainquant et se laisse influencer). Les pseudos mises à jour sont l'une des ficelles habituelles des cybercriminels pour pénétrer de très nombreux ordinateurs facilement. Les internautes ne sont jamais des personnes attentives et Java est utilisé par des centaines de millions d'internautes.

D'autre part, Java est tellement complexe que les mises à jour, par son éditeur Oracle, sont fréquentes. L'internaute, même prudent, prend le réflexe d'accepter systématiquement les mises à jour Java, abaissant ainsi son niveau de vigilance qui s'émousse avec l'habitude.

Le pire est que certains internautes sont des techniciens informatiques ayant la charge de la maintenance d'un parc informatique. Ils vont déployer l'attaque sur tout le parc, convaincu de faire une mise à jour de sécurité.

La seule manière de vérifier si Java est installé et s'il est à jour, la seule manière d'installer Java, la seule manière de mettre Java à jour, se trouvent sur cette page :

«  Quelle est ma version de Java et Mise à jour de Java »

Quelle est ma version de Java et mise à jour de Java

La version de Java, au moment de la rédaction de cet article, est la 7.45.

Si vous êtes un utilisateur occasionnel de la technologie Java, une bonne idée serait de désactiver le plugin Java, dans chacun des navigateurs utilisés. Chaque fois qu'une application Java se présentera, un message d'avertissement vous demandera d'installer Java ou d'activer le plug-in. Vous le désactiverez dès que vous aurez fini d'utiliser l'application écrite en Java.

Exemples de faux :

Des messages comme ceux-ci sont des faux d'octobre 2013, bien que l'image de fond soit, partiellement, dans la charte graphique du site de la société Oracle, propriétaire et éditeur de Java.


Java Fausses mises à jour - Octobre 2013
Java Fausses mises à jour - Octobre 2013


Java Fausses mises à jour - Octobre 2013
Java Fausses mises à jour - Octobre 2013

Analyse de l'attaque - Fausse mise à jour JavaAnalyse de l'attaque - Fausse mise à jour JavaAnalyse de l'attaque - Fausse mise à jour Java

Provient du domaine javeupdatecaa.com qui n'a strictement rien à voir avec Oracle, le propriétaire et éditeur de Java.
C'est un domaine dont le nom du propriétaire est masqué par un dispositif de confidentialité (illégal) situé à Panama.
Le domaine a été créé le 24.10.2013 soit il y a 3 jours au moment de la rédaction de cette analyse.

Cette attaque ne nécessite pas forcément de cliquer sur une pub. Elle peut s'activer automatiquement, au chargement d'une page Web. La technique utilisée s'appelle alors Drive-by download.

En cliquant sur des pubs (suggestives...), on aboutit sur une annonce de demande de mise à jour de Java.
Comme les internautes on envie de voir cette pub suggestive, si pub il y a, et que tous les internautes (sauf les tout débutants) savent que Java connaît des mises à jour fréquentes, dont des correctifs à des failles de sécurité, et que tous les internautes (ou presque) cliquent d'abord et réfléchissent ensuite, l'attaque réussi dans de nombreux cas.
C'est de l'Ingénierie sociale.

En allant sur le site javeupdatecaa.com, on tombe sur la page javeupdatecaa.com/download/chrome.php qui suggère une mise à jour de Java. Cette page ressemble à celle d'Oracle (le propriétaire et éditeur de Java).

Lecture de la page du cybercriminel - Fausse mise à jour de Java
Lecture de la page du cybercriminel - Fausse mise à jour de Java

Fausse mise à jour de Java - Comparaison entre la vraie page d'Oracle et la fausse page du cybercriminel - Fausse page
Fausse mise à jour de Java - Comparaison entre la vraie page d'Oracle et la fausse page du cybercriminel - Fausse page
Fausse mise à jour de Java - Comparaison entre la vraie page d'Oracle et la fausse page du cybercriminel - Vraie page
Fausse mise à jour de Java - Comparaison entre la vraie page d'Oracle et la fausse page du cybercriminel - Vraie page

Si on clique sur le bouton de mise à jour, le téléchargement commence. Il s'agit d'un fichier appelé Java.exe qui est téléchargé depuis le site 123mediaplayer.com

123mediaplayer.com est un domaine dont le nom du propriétaire est masqué par un dispositif de confidentialité (illégal)
Créé le 25.09.2012
Iles Baléares
Serveur 54.200.111.209 (serveur dédié)

Mise à jour 31.10.2013

Le fichier Java.exe est téléchargé depuis http://dlp.cloudsvr12.com/l/259/Java/446/713/M3z1RixI
Binaire de Java.exe changé. Analyse virustotal donne les mêmes résultats.

Le domaine cloudsvr12.com a été créé le 30.10.2013, il y a moins de 24 heures.
Nom du propriétaire est masqué par un dispositif de confidentialité
Iles Baléares
Serveur 146.185.156.77

Le fichier Java.exe téléchargé, que l'internaute va exécuter, croyant installer Java, est un Hijacker et Adware (gestionnaire de publicités) qui va installer des Barres d'outils (Toolbars), des Hijacks de la page de démarrage du navigateur et du moteur de recherche par défaut et des Pup - (Potentially Unwanted Program).

Analyse Virustotal 28.10.2013 - version sur le serveur 123mediaplayer.com
Analyse Virustotal 28.10.2013 - version sur le serveur cloudsvr12.com

Antivirus Result Update
Bkav 20131031
MicroWorld-eScan 20131028
nProtect 20131031
CAT-QuickHeal 20131031
McAfee Adware-DomaIQ 20131031
Malwarebytes PUP.Optional.BundleInstaller.A 20131030
TheHacker 20131029
K7GW 20131031
K7AntiVirus 20131031
NANO-Antivirus 20131031
F-Prot 20131031
Symantec 20131031
Norman DomaIQ.CERT 20131030
TotalDefense 20131030
TrendMicro-HouseCall 20131031
Avast Win32:DomaIQ-AN [PUP] 20131031
ClamAV 20131031
Kaspersky not-a-virus:Downloader.NSIS.Agent.ax 20131031
BitDefender 20131031
Agnitum 20131030
ViRobot 20131031
Emsisoft 20131031
Comodo 20131031
F-Secure 20131031
DrWeb Trojan.Packed.24553 20131031
VIPRE DomaIQ (fs) 20131031
AntiVir APPL/DomaIQ.Gen7 20131031
TrendMicro 20131031
McAfee-GW-Edition 20131031
Sophos 20131031
Jiangmin 20131031
Antiy-AVL 20131031
Kingsoft Win32.Troj.Generic.a.(kcloud) 20130829
Microsoft 20131031
SUPERAntiSpyware PUP.DomaIQ/Variant 20131030
AhnLab-V3 20131030
GData 20131031
Commtouch 20131031
ByteHero 20131028
VBA32 20131030
Panda 20131031
ESET-NOD32 MSIL/DomaIQ.B 20131031
Rising 20131029
Ikarus 20131030
Fortinet Adware/DomaIQ 20131031
AVG 20131031
Baidu-International 20131031

Le principe est le même que dans le cas des installeurs modifiés (Repack). Celui qui a conduit l'attaque et a réussi à implanter les malveillances, est rémunéré à chaque réussite de l'attaque.

Dans le cas présent, il s'agit d'un Repack d'une vieille version de Java. Qui est le commanditaire (à qui profite le crime) ? A priori, ce serait DSNR Media Group auquel sont affiliés de nombreux sites comme peperonity.com, youtube.com, allsp.ch, t411.me, fr.dilandau.eu, etc. ... (800 domaines identifiés).

On notera qu'en bas de la page javeupdatecaa.com/download/chrome.php, presque en caractères blancs sur fond blanc, il y a une annotation que personne ne lit qui devrait mettre la puce à l'oreille (enfin... qui devrait créer une démangeaison au bout du doigt) : on peut y lire qu'il s'agit probablement d'un Downloader ou qu'il embarque dans son corps les malveillances qu'il va implanter (auquel cas il agit en Cheval de Troie - rappelons qu'un cheval de Troie n'est pas une malveillance mais le vecteur de malveillance(s) - il transporte des charges utiles mais n'est pas une charge utile).

Disclaimer:

This site is distributing an install manager that will manage the installation of your selected software. In addition to managing the installation of your selected software, this install manager will make recommendations for additional free software that you may be interested in. Additional software may include toolbars, browser add-ons, game applications, anti-virus applications and other types of applications. You are not required to install any additional software to receive your selected software. You can completely remove the program at any time in Windows 'Add/Remove Programs'.

Cette annotation annonce donc que l'installeur est un Repack.

Usage juridique de cette annotation

Cette annotation, illisible, permet à la régie publicitaire de se défendre en cas d'attaque en justice par un internaute. Enfin, cette annonce permet à la régie publicitaire d'attaquer les outils anti-malwares qui tenteraient de classer à "Malware" leur installeur et à bloquer son installation. En ce sens, on se rappelle sans doute le cas de Microsoft qui a été obligé de reculer devant une attaque des éditeurs d'adwares, après son rachat de Giant AntiSpyware.

Lire la saga Giant AntiSpyware - MS AntiSpyware - Windows Defender - Sunbelt CounterSpy - sur la page
Windows Defender

Dans ce même sens, on se rappelle le recul de Malwarebytes Anti-spywares devant l'avocat du français 01net.com (download.com) et son malware que j'ai réussi à ré-introduire dans Malwarebytes Anti-spywares il y a quelques mois. Lire le décorticage des téléchargements sur 01net.com
01Net.com


Bloquer les domaines :
javeupdatecaa.com
123mediaplayer.com
cloudsvr12.com
securejavafiledownload.org


Contre mesuresContre-mesures" Contre mesures "

Si vous avez cliqué sur le bouton de mise à jour et que celle-ci a été effectuée :
  1. Utilisez simplement la procédure de décontamination anti-malware
  2. Procédez à une réelle mise à jour de Java

Précautions à prendre pour l'avenir :

  1. Protection des navigateurs, de la navigation et de la vie privée
  2. Installer AdBlock Plus
  3. Vérifier l'état de tous les plugins (toutes les technologies) dans tous les navigateurs, d'un seul clic.
  4. Disposer d'un bon antivirus, à jour, travaillant en temps réel.
  5. Réfléchir d'abord, cliquer après, jamais l'inverse.