Au début du mois de mars, nous avons reçu un rapport d'un chercheur indépendant sur des infections en masse d'ordinateurs d'entreprises, suite à la visite de sites (légitimes) d'actualités russes. Les symptômes étaient les mêmes dans chaque cas : apparition de requêtes vers des sites tiers et création de fichiers incompréhensibles (probablement) sur les machines.Le mécanisme d'infection utilisé par ce logiciel malveillant s'est avéré très difficile à identifier. Les sites utilisés pour propager l'infection étaient hébergés sur différentes plates-formes et avaient des architectures différentes. L'utilisation d'une faille commune était alors écartée. De plus, il était impossible de reproduire les infections.Toutefois, nous avons trouvé un point commun à tous ces sites d'actualités.
1. Vecteur d'infection
Pour continuer l'analyse, nous avons choisi deux sites supposés distribuer la menace, puis nous les avons aspirés (wget is your friend) régulièrement afin de les inspecter en offline. Nous n'avons découvert aucune trace d'injection de code : ni Javascript tiers, ni iframe et aucune redirection caractèristique d'une infection. Le seul point commun était légitime :l'utilisation des services de publicité de la société AdFox.
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première