Alertes de sécurité en cours Discussion Discussion
Faire un lien Lien
Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée


Java - Alertes fausses mises à jour - Virus

Dernière mise à jour : 2016-12-03T00:00 - 03.12.2016 - 00h00
31.10.2013 - 00h00 - Paris - (Assiste - Pierre Pinard) - Mise à jour - Nouveau serveur de téléchargement

Java - Alertes fausses mises à jour - Virus

Java - Alertes fausses mises à jour - Virus

Dossier : Java

Dossier : Java

Quelle est ma version actuelle de Java

Installation de Java
Mise à jour de Java
Comment désinstaller Java
Java ou JavaScript ?
La petite histoire de Java
Références Java
Ressources Java
Requêtes similaires Java
L'affaire de la JVM Java de Microsoft

Alertes

Exemples de fausses mise à jour de Java (Virus)

Requêtes similaires

Plugin Java
Plug-in Java
Plug in Java

Dossier : Publicité sur le Web

Dossier : Publicité
Dossier : Publicité intrusive

Prévention : Bloquer publicité et tracking
Procédure de blocage de la publicité

Pourquoi la publicité sur le Web
Mécanismes publicitaires d'attaque
Synopsis de la chaîne publicitaire sur le Web
Dispositif inacceptable : les barres d'outils
Dispositif inacceptable : les adwares
Dispositif inacceptable : les Web-Bug
Dispositif inacceptable : la géolocalisation
Dispositif inacceptable : les scripts publicitaires
Dispositif inacceptable : les cookies de tracking
Dispositif inacceptable : les GUID
Dispositif inacceptable : les entêtes requêtes HTTP
Dispositif inacceptable : les boutons sociaux
Dispositif inacceptable : les autres sources
Dispositif inacceptable : le profiling
Dispositif inacceptable : le ciblage comportemental
Dispositif inacceptable : le market comportemental

Les outils anti publicité
AdBlock Plus
AdBlock Edge
Ghostery
Disconnect
DNT (Do Not Track)
Referrer Control
Protection navigateur, navigation, vie privée
NoScript

Décontamination anti-publicités
Procédure de décontamination
Les anti-Adwares
AdwCleaner
Malwarebytes Anti-Malware (MBAM)

La publicité et ses standards sur le Web
Standards dimensionnels selon les techniques
Standards dimensionnels des bannières
Bannières publicitaires - Perception et Contre-mesures
Interstitiels

Mécanismes
Pop-over
Pop-up
Pop-up slider
Pop-Under
Superstitiels
Adwares
Adservers
Web-bug
Tracking
Profiling
Cookies
Cookies de tracking
Capping
Scripts

Autres termes
Publiciel
Publigiciel
Publilogiciel

Usage malveillant des mécanismes publicitaires
Tromperies publicitaires sur le Web
Publicité pour de fausses mises à jour Java
Publicités intempestives
Publicités trompeuses ou mensongères
Drive-by download
Ingénierie sociale

Les textes règlementant la publicité sur le Web
Charte "Publicité Ciblée et Protection des internautes"

Java - Alertes fausses mises à jour - VirusJava - Alertes fausses mises à jour - VirusJava - Alertes fausses mises à jour - Virus

Des publicités conduisent à des tentatives d'installations de fausses mises à jour de Java.

Des attaques ont régulièrement lieu avec de faux avis de mises à jour de Java qui sont, en réalité, des implantations de virus de divers types, comme des backdoor ou des zombifications ou des keylogger ou des spywares, etc. ... L'ordinateur est compromis.

L'une des méthodes est le faux message d'avis de mise à jour de Java sous forme d'une simple publicité délivrée par une régie publicitaire sans scrupule prenant des cybercriminels en clientelle.

La forme de l'attaque relève de l'habituelle ingénierie sociale (l'internaute est manipulé par un message convainquant et se laisse influencer). Les faux message d'avis de mise à jour de Java sont l'une des ficelles habituelles des cybercriminels pour pénétrer de très nombreux ordinateurs facilement. Les internautes ne sont jamais des personnes attentives et Java est utilisé par des centaines de millions d'internautes.

D'autre part, Java est tellement complexe que les mises à jour, par son éditeur, Oracle, sont fréquentes. L'internaute, même prudent, prend le réflexe d'accepter systématiquement les mises à jour Java, abaissant ainsi son niveau de vigilance qui s'émousse avec l'habitude.

Le pire est que certains internautes sont des techniciens informatiques ayant la charge de la maintenance d'un parc informatique. Ils vont déployer l'attaque sur tout le parc, convaincu de faire une mise à jour de sécurité.

La seule manière de vérifier si Java est installé et s'il est à jour, la seule manière d'installer Java, la seule manière de mettre Java à jour, se trouve sur cette page :

«  Quelle est ma version de Java et Mise à jour de Java »


Quelle est ma version de Java et mise a jour



Analyse de l'attaque - Fausse mise à jour JavaAnalyse d'une attaque - Fausse mise à jour JavaAnalyse de l'attaque - Fausse mise à jour Java

Comment analyser un avis de mise à jour :

Ce faux avis de mise à jour de Java est découvert le 27.10.2013. La version officielle de Java est, à ce moment là, la 7.45.

Si vous êtes un utilisateur occasionnel de la technologie Java, une bonne idée serait de désactiver le plugin Java, dans chacun des navigateurs utilisés. Chaque fois qu'une application Java se présentera, un message d'avertissement vous demandera d'installer Java ou d'activer le plug-in. Vous le désactiverez dès que vous aurez fini d'utiliser l'application écrite en Java.

Terminologie : Qu'est-ce qu'un "plug-in" ?

Plug-in

Exemples de faux :

Des messages comme ceux-ci sont des faux, bien que l'image de fond soit, partiellement, dans la charte graphique du site de la société Oracle, propriétaire et éditeur de Java.


Java Fausses mises à jour - Octobre 2013
Java Fausses mises à jour - Octobre 2013


Java Fausses mises à jour - Octobre 2013
Java Fausses mises à jour - Octobre 2013

Si vous êtes attentif et analysez l'avis de mise à jour, vous vous appercevez, en promenant le pointeur de votre souris sur cet avis, que le lien ne conduit pas au site http://www.java.com qui est le seul site officiel de Java et est la propriété de la société Oracle, propriétaire et éditeur de Java..

Dans l'exemple ci-dessus, attention à la tromperie sur le nom du site (nom de domaine). Il s'agit de javeupdatecaa.com qui n'a strictement rien à voir avec Java ni Oracle. Ces sites, aux noms très proche du véritable site, sont des centaines et ne vivent que quelques heures à quelques jours.

Dans l'exemple ci-dessus, en faisant un Whois (données de la carte d'identité d'un site), on s'apperçoit que :

  • C''est un domaine dont le nom du propriétaire (le « registrant ») est masqué par un dispositif de confidentialité (illégal), est qu'il est situé à Panama.
  • Le domaine a été créé le 24.10.2013 soit 3 jours avant l'attaque découverte le 27.10.2013. Une règle générale sur le Web est de ne jamais faire confiance à un site (un domaine) tout jeune.

Cette attaque ne nécessite pas forcément de cliquer sur une publicité pour que la compromission soit installée. Elle peut s'activer automatiquement, au chargement d'une page Web, par l'exploitation d'une faille de sécurité. La technique utilisée s'appelle alors Drive-by download.

En cliquant sur des publicités (suggestives...), on aboutit sur une annonce de demande de mise à jour de Java.

Comme (presque) tous les internautes éprouvent le besoin, quasi naturel, d'aller voir ce qu'il y a derrière cet avis très suggestif et très inquiétant, et que (presque) tous les internautes (sauf les tout débutant) savent que Java connaît des mises à jour très fréquentes, dont des correctifs à des failles de sécurité, et que tous les internautes (ou presque) cliquent d'abord et réfléchissent ensuite, l'attaque réussi dans de très nombreux cas.
C'est de l'Ingénierie sociale et c'est ainsi, par exemple, que certains observateurs (voir l'article BotNet) avancent le taux de 25% de tous les ordinateurs du monde modifiés en zombies et injectés dans des BotNets (ils deviennent la « propriété » de cybercriminels à l'insu de leurs propriétaires).

En allant sur le site javeupdatecaa.com, on tombe sur la page javeupdatecaa.com/download/chrome.php qui suggère une mise à jour de Java. Cette page ressemble, comme deux goutes d'eau, à celle d'Oracle (le propriétaire et éditeur de Java).

Lecture de la page du cybercriminel - Fausse mise à jour de Java
Lecture de la page du cybercriminel - Fausse mise à jour de Java

Fausse mise à jour de Java - Comparaison entre la vraie page d'Oracle et la fausse page du cybercriminel - Fausse page
Fausse mise à jour de Java - Comparaison entre la vraie page d'Oracle et la fausse page du cybercriminel - Fausse page
Fausse mise à jour de Java - Comparaison entre la vraie page d'Oracle et la fausse page du cybercriminel - Vraie page
Fausse mise à jour de Java - Comparaison entre la vraie page d'Oracle et la fausse page du cybercriminel - Vraie page

Si on clique sur le bouton de mise à jour, le téléchargement commence. Il s'agit d'un fichier appelé Java.exe qui est téléchargé depuis le site 123mediaplayer.com (rien à voir avec Java ni avec Oracle).

Faisons un Whois (données de la carte d'identité d'un site) sur 123mediaplayer.com. C'est un domaine dont le nom du propriétaire est masqué par un dispositif de confidentialité (illégal), créé le 25.09.2012, localisé aux Baléares, et dont le serveur est à l'adresse IP 54.200.111.209 (serveur dédié).

Mise à jour 31.10.2013

Le fichier Java.exe est téléchargé depuis http://dlp.cloudsvr12.com/l/259/Java/446/713/M3z1RixI
Binaire de Java.exe changé. Analyse virustotal donne les mêmes résultats.

Le domaine cloudsvr12.com a été créé le 30.10.2013, il y a moins de 24 heures.
Nom du propriétaire est masqué par un dispositif de confidentialité
Iles Baléares
Serveur 146.185.156.77

Le fichier Java.exe téléchargé, que l'internaute va exécuter, croyant installer Java, est un Hijacker et Adware (gestionnaire de publicités) qui va installer des Barres d'outils (Toolbars), des Hijacks de la page de démarrage du navigateur et du moteur de recherche par défaut et des Pup - (Potentially Unwanted Program).

Analyse Virustotal 28.10.2013 - version sur le serveur 123mediaplayer.com
Analyse Virustotal 28.10.2013 - version sur le serveur cloudsvr12.com

Antivirus Result Update
Bkav 20131031
MicroWorld-eScan 20131028
nProtect 20131031
CAT-QuickHeal 20131031
McAfee Adware-DomaIQ 20131031
Malwarebytes PUP.Optional.BundleInstaller.A 20131030
TheHacker 20131029
K7GW 20131031
K7AntiVirus 20131031
NANO-Antivirus 20131031
F-Prot 20131031
Symantec 20131031
Norman DomaIQ.CERT 20131030
TotalDefense 20131030
TrendMicro-HouseCall 20131031
Avast Win32:DomaIQ-AN [PUP] 20131031
ClamAV 20131031
Kaspersky not-a-virus:Downloader.NSIS.Agent.ax 20131031
BitDefender 20131031
Agnitum 20131030
ViRobot 20131031
Emsisoft 20131031
Comodo 20131031
F-Secure 20131031
DrWeb Trojan.Packed.24553 20131031
VIPRE DomaIQ (fs) 20131031
AntiVir APPL/DomaIQ.Gen7 20131031
TrendMicro 20131031
McAfee-GW-Edition 20131031
Sophos 20131031
Jiangmin 20131031
Antiy-AVL 20131031
Kingsoft Win32.Troj.Generic.a.(kcloud) 20130829
Microsoft 20131031
SUPERAntiSpyware PUP.DomaIQ/Variant 20131030
AhnLab-V3 20131030
GData 20131031
Commtouch 20131031
ByteHero 20131028
VBA32 20131030
Panda 20131031
ESET-NOD32 MSIL/DomaIQ.B 20131031
Rising 20131029
Ikarus 20131030
Fortinet Adware/DomaIQ 20131031
AVG 20131031
Baidu-International 20131031

Le principe est le même que dans le cas des installeurs modifiés (Repack). Celui qui a conduit l'attaque et a réussi à implanter les malveillances, est rémunéré à chaque réussite de l'attaque.

Dans le cas présent, il s'agit d'un Repack d'une vieille version de Java. Qui est le commanditaire (à qui profite le crime) ? A priori, ce serait DSNR Media Group auquel sont affiliés de nombreux sites comme peperonity.com, youtube.com, allsp.ch, t411.me, fr.dilandau.eu, etc. ... (800 domaines identifiés).

On notera qu'en bas de la page javeupdatecaa.com/download/chrome.php, presque en caractères blancs sur fond blanc, il y a une annotation que personne ne lit qui devrait mettre la puce à l'oreille (enfin... qui devrait créer une démangeaison au bout du doigt) : on peut y lire qu'il s'agit probablement d'un Downloader ou qu'il embarque dans son corps les malveillances qu'il va implanter (auquel cas il agit en Cheval de Troie - rappelons qu'un Cheval de Troie n'est pas une malveillance mais le vecteur de malveillance(s) - il transporte des charges utiles mais n'est pas une charge utile).

Disclaimer:

This site is distributing an install manager that will manage the installation of your selected software. In addition to managing the installation of your selected software, this install manager will make recommendations for additional free software that you may be interested in. Additional software may include toolbars, browser add-ons, game applications, anti-virus applications and other types of applications. You are not required to install any additional software to receive your selected software. You can completely remove the program at any time in Windows 'Add/Remove Programs'.

Cette annotation annonce donc que l'installeur est un Repack.

Usage juridique de cette annotation

Cette annotation, illisible, permet à la régie publicitaire de se défendre en cas d'attaque en justice par un internaute. Enfin, cette annonce permet à la régie publicitaire d'attaquer les outils anti-malwares qui tenteraient de classer à "Malware" leur installeur et à bloquer son installation. En ce sens, on se rappelle sans doute le cas de Microsoft qui a été obligé de reculer devant une attaque des éditeurs d'adwares, après son rachat de Giant AntiSpyware.

Lire la saga Giant AntiSpyware - MS AntiSpyware - Windows Defender - Sunbelt CounterSpy - sur la page
Windows Defender

Dans ce même sens, on se rappelle le recul de Malwarebytes Anti-Malware devant l'avocat du français 01net.com (download.com) et son malware que j'ai réussi à ré-introduire dans Malwarebytes Anti-Malware il y a quelques mois. Lire le décorticage des téléchargements sur 01net.com
01Net.com


Bloquer les domaines :
javeupdatecaa.com
123mediaplayer.com
cloudsvr12.com
securejavafiledownload.org


Contre mesuresContre-mesures" Contre mesures "

Si vous avez cliqué sur le bouton de mise à jour et que celle-ci a été effectuée :
  1. Utilisez simplement la procédure de décontamination anti-malware
  2. Procédez à une réelle mise à jour de Java

Précautions à prendre pour l'avenir :

  1. Protection des navigateurs, de la navigation et de la vie privée
  2. Installer AdBlock Plus
  3. Vérifier l'état de tous les plugins (toutes les technologies) dans tous les navigateurs, d'un seul clic.
  4. Disposer d'un bon antivirus, à jour, travaillant en temps réel.
  5. Réfléchir d'abord, cliquer après, jamais l'inverse.