Assiste News Dossiers Encyclopédie Comment Logithèque Alternathèque Crapthèque Outils Forum Boutique ? W TDF
Assiste.com
|
|
|
27.10.2013 Aujourd'hui à la Une
Alerte Java
Attaques : fausses mises à jour
Java - Attaques : fausses mises à jour - Octobre 2013
Alerte Java - Fausses mises à jour - Octobre 2013
Depuis le début d'octobre 2013, des publicités conduisent à des tentatives d'installations de fausses mises à jour de Java.
Ce n'est pas la première fois (et ce ne sera pas la dernière fois) que ce type d'attaque a lieu. Des attaques ont régulièrement lieu avec ces mises à jour bidon qui sont, en réalité, des implantations de backdoor ou des zombification ou des keylogger ou des spywares, etc. ...
La forme de l'attaque relève de l'habituelle ingénierie sociale (l'internaute est manipulé par un message convainquant et se laisse influencer). Les pseudos mises à jour sont l'une des ficelles habituelles des cybercriminels pour pénétrer de très nombreux ordinateurs facilement. Les internautes ne sont jamais des personnes attentives et Java est utilisé par des centaines de millions d'internautes.
D'autre part, Java est tellement complexe que les mises à jour, par son éditeur Oracle, sont fréquentes. L'internaute, même prudent, prend le réflexe d'accepter systématiquement les mises à jour Java, abaissant ainsi son niveau de vigilance qui s'émousse avec l'habitude.
Le pire est que certains internautes sont des techniciens informatiques ayant la charge de la maintenance d'un parc informatique. Ils vont déployer l'attaque sur tout le parc, convaincu de faire une mise à jour de sécurité.
La seule manière de vérifier si Java est installé et s'il est à jour, la seule manière d'installer Java, la seule manière de mettre Java à jour, se trouvent sur cette page :
La version de Java, au moment de la rédaction de cet article, est la 7.45.
Si vous êtes un utilisateur occasionnel de la technologie Java, une bonne idée serait de désactiver le plugin Java, dans chacun des navigateurs utilisés. Chaque fois qu'une application Java se présentera, un message d'avertissement vous demandera d'installer Java ou d'activer le plug-in. Vous le désactiverez dès que vous aurez fini d'utiliser l'application écrite en Java.
Exemples de faux :
Des messages comme ceux-ci sont des faux d'octobre 2013, bien que l'image de fond soit, partiellement, dans la charte graphique du site de la société Oracle, propriétaire et éditeur de Java.
Java Fausses mises à jour - Octobre 2013
Java Fausses mises à jour - Octobre 2013
Analyse de l'attaque - Fausse mise à jour Java
Provient du domaine javeupdatecaa.com qui n'a strictement rien à voir avec Oracle, le propriétaire et éditeur de Java.C'est un domaine dont le nom du propriétaire est masqué par un dispositif de confidentialité (illégal) situé à Panama.
Le domaine a été créé le 24.10.2013 soit il y a 3 jours au moment de la rédaction de cette analyse.
Cette attaque ne nécessite pas forcément de cliquer sur une pub. Elle peut s'activer automatiquement, au chargement d'une page Web. La technique utilisée s'appelle alors Drive-by download.
En cliquant sur des pubs (suggestives...), on aboutit sur une annonce de demande de mise à jour de Java.
Comme les internautes on envie de voir cette pub suggestive, si pub il y a, et que tous les internautes (sauf les tout débutants) savent que Java connaît des mises à jour fréquentes, dont des correctifs à des failles de sécurité, et que tous les internautes (ou presque) cliquent d'abord et réfléchissent ensuite, l'attaque réussi dans de nombreux cas.
C'est de l'Ingénierie sociale.
En allant sur le site javeupdatecaa.com, on tombe sur la page javeupdatecaa.com/download/chrome.php qui suggère une mise à jour de Java. Cette page ressemble à celle d'Oracle (le propriétaire et éditeur de Java).
Lecture de la page du cybercriminel - Fausse mise à jour de Java
 Fausse mise à jour de Java - Comparaison entre la vraie page d'Oracle et la fausse page du cybercriminel - Fausse page |
 Fausse mise à jour de Java - Comparaison entre la vraie page d'Oracle et la fausse page du cybercriminel - Vraie page |
Si on clique sur le bouton de mise à jour, le téléchargement commence. Il s'agit d'un fichier appelé Java.exe qui est téléchargé depuis le site 123mediaplayer.com
123mediaplayer.com est un domaine dont le nom du propriétaire est masqué par un dispositif de confidentialité (illégal)
Créé le 25.09.2012
Iles Baléares
Serveur 54.200.111.209 (serveur dédié)
Mise à jour 31.10.2013
Le fichier Java.exe est téléchargé depuis http://dlp.cloudsvr12.com/l/259/Java/446/713/M3z1RixI
Binaire de Java.exe changé. Analyse virustotal donne les mêmes résultats.
Le domaine cloudsvr12.com a été créé le 30.10.2013, il y a moins de 24 heures.
Nom du propriétaire est masqué par un dispositif de confidentialité
Iles Baléares
Serveur 146.185.156.77
Le fichier Java.exe téléchargé, que l'internaute va exécuter, croyant installer Java, est un Hijacker et Adware (gestionnaire de publicités) qui va installer des Barres d'outils (Toolbars), des Hijacks de la page de démarrage du navigateur et du moteur de recherche par défaut et des Pup - (Potentially Unwanted Program).
Analyse Virustotal 28.10.2013 - version sur le serveur 123mediaplayer.com
Analyse Virustotal 28.10.2013 - version sur le serveur cloudsvr12.com
| Antivirus | Result | Update |
|---|---|---|
| Bkav | 20131031 | |
| MicroWorld-eScan | 20131028 | |
| nProtect | 20131031 | |
| CAT-QuickHeal | 20131031 | |
| McAfee | Adware-DomaIQ | 20131031 |
| Malwarebytes | PUP.Optional.BundleInstaller.A | 20131030 |
| TheHacker | 20131029 | |
| K7GW | 20131031 | |
| K7AntiVirus | 20131031 | |
| NANO-Antivirus | 20131031 | |
| F-Prot | 20131031 | |
| Symantec | 20131031 | |
| Norman | DomaIQ.CERT | 20131030 |
| TotalDefense | 20131030 | |
| TrendMicro-HouseCall | 20131031 | |
| Avast | Win32:DomaIQ-AN [PUP] | 20131031 |
| ClamAV | 20131031 | |
| Kaspersky | not-a-virus:Downloader.NSIS.Agent.ax | 20131031 |
| BitDefender | 20131031 | |
| Agnitum | 20131030 | |
| ViRobot | 20131031 | |
| Emsisoft | 20131031 | |
| Comodo | 20131031 | |
| F-Secure | 20131031 | |
| DrWeb | Trojan.Packed.24553 | 20131031 |
| VIPRE | DomaIQ (fs) | 20131031 |
| AntiVir | APPL/DomaIQ.Gen7 | 20131031 |
| TrendMicro | 20131031 | |
| McAfee-GW-Edition | 20131031 | |
| Sophos | 20131031 | |
| Jiangmin | 20131031 | |
| Antiy-AVL | 20131031 | |
| Kingsoft | Win32.Troj.Generic.a.(kcloud) | 20130829 |
| Microsoft | 20131031 | |
| SUPERAntiSpyware | PUP.DomaIQ/Variant | 20131030 |
| AhnLab-V3 | 20131030 | |
| GData | 20131031 | |
| Commtouch | 20131031 | |
| ByteHero | 20131028 | |
| VBA32 | 20131030 | |
| Panda | 20131031 | |
| ESET-NOD32 | MSIL/DomaIQ.B | 20131031 |
| Rising | 20131029 | |
| Ikarus | 20131030 | |
| Fortinet | Adware/DomaIQ | 20131031 |
| AVG | 20131031 | |
| Baidu-International | 20131031 |
Le principe est le même que dans le cas des installeurs modifiés (Repack). Celui qui a conduit l'attaque et a réussi à implanter les malveillances, est rémunéré à chaque réussite de l'attaque.
Dans le cas présent, il s'agit d'un Repack d'une vieille version de Java. Qui est le commanditaire (à qui profite le crime) ? A priori, ce serait DSNR Media Group auquel sont affiliés de nombreux sites comme peperonity.com, youtube.com, allsp.ch, t411.me, fr.dilandau.eu, etc. ... (800 domaines identifiés).
On notera qu'en bas de la page javeupdatecaa.com/download/chrome.php, presque en caractères blancs sur fond blanc, il y a une annotation que personne ne lit qui devrait mettre la puce à l'oreille (enfin... qui devrait créer une démangeaison au bout du doigt) : on peut y lire qu'il s'agit probablement d'un Downloader ou qu'il embarque dans son corps les malveillances qu'il va implanter (auquel cas il agit en Cheval de Troie - rappelons qu'un cheval de Troie n'est pas une malveillance mais le vecteur de malveillance(s) - il transporte des charges utiles mais n'est pas une charge utile).
Disclaimer:
This site is distributing an install manager that will manage the installation of your selected software. In addition to managing the installation of your selected software, this install manager will make recommendations for additional free software that you may be interested in. Additional software may include toolbars, browser add-ons, game applications, anti-virus applications and other types of applications. You are not required to install any additional software to receive your selected software. You can completely remove the program at any time in Windows 'Add/Remove Programs'.
Usage juridique de cette annotation
Cette annotation, illisible, permet à la régie publicitaire de se défendre en cas d'attaque en justice par un internaute. Enfin, cette annonce permet à la régie publicitaire d'attaquer les outils anti-malwares qui tenteraient de classer à "Malware" leur installeur et à bloquer son installation. En ce sens, on se rappelle sans doute le cas de Microsoft qui a été obligé de reculer devant une attaque des éditeurs d'adwares, après son rachat de Giant AntiSpyware.
Lire la saga Giant AntiSpyware - MS AntiSpyware - Windows Defender - Sunbelt CounterSpy - sur la page
Windows Defender
Dans ce même sens, on se rappelle le recul de Malwarebytes Anti-spywares devant l'avocat du français 01net.com (download.com) et son malware que j'ai réussi à ré-introduire dans Malwarebytes Anti-spywares il y a quelques mois. Lire le décorticage des téléchargements sur 01net.com
01Net.com
Bloquer les domaines :
javeupdatecaa.com
123mediaplayer.com
cloudsvr12.com
securejavafiledownload.org
Contre-mesures
Si vous avez cliqué sur le bouton de mise à jour et que celle-ci a été effectuée :
- Utilisez simplement la procédure de décontamination anti-malware
- Procédez à une réelle mise à jour de Java
Précautions à prendre pour l'avenir :
- Protection des navigateurs, de la navigation et de la vie privée
- Installer AdBlock Plus
- Vérifier l'état de tous les plugins (toutes les technologies) dans tous les navigateurs, d'un seul clic.
- Disposer d'un bon antivirus, à jour, travaillant en temps réel.
- Réfléchir d'abord, cliquer après, jamais l'inverse.
27.10.2013 - 00h00 - Paris - (Assiste - Pierre Pinard) - Alerte sécurité
|
|
|
Article rédigé en écoutant...