Des e-mails contenant des URL malveillantes utilisent la tragédie de Boston pour exploiter des installations Java vulnérables

Hier, les États-Unis ont été victime d’une attaque à la bombe pendant le marathon de Boston. Cette attaque a été décrite par le Président des États-Unis comme « une attaque terroriste », car elle visait des civils.

A peine 24 heures plus tard, nous avons commencé à voir arriver de grandes quantités de spam avec comme objets « Explosion at Boston Marathon », « Boston Explosion caught on Video ». Cette technique d’ingénierie sociale n’est pas nouvelle. Nous avons pu constater ce phénomène dès que quelque chose se passe dans le monde (guerre, catastrophe naturelle, événement social), qui pourrait potentiellement intéressé les gens. Cette vieille technique nommé ingénierie sociale est connue, mais ne cesse de faire de nouvelles victimes.

2

1

De même, certaines publications sur Facebook contenant des liens vers plusieurs sites Web sont encore catégorisées. On est en droit de penser qu’une grande partie de ces sites Web contiennent des logiciels malveillants.

Les e-mails contiennent une seule ligne qui est une URL composée d’une adresse IP et d’une page HTML nommée « news.html » ou « boston.html ».

Une fois visitée, la page redirige vers trois autre URL qui essaient de déposer un fichier JAR sur votre système, s’ils détectent que l’ordinateur a une installation JAVA vulnérable.

Boston Marathon Malware 2

Mis à jour : nous disposons aussi d’une capture d’écran d’un site Web qui montre une courte vidéo tout en essayant d’exécuter le fichier JAR qui exploite la vulnérabilité JAVA.

Nous avons écrit plusieurs fois que Java était dangereux de part ses failles et que vous n’en avez probablement pas vraiment besoin sur votre système. Découvrez ici comment désactiver ou désinstaller Java.

Le fichier sera téléchargé depuis une URL générée au hasard, différente pour chaque utilisateur :

urls

 

Le fichier malveillant est enregistré dans le répertoire TEMP du compte connecté et nommé « alifna.exe ».  De plus, il semble que le fichier est aussi généré au hasard, car chaque visiteur reçoit une version légèrement différente. Heureusement, les fichiers ne sont pas si différents (non polymorphes) car nos produits les détectent déjà de manière générique sous « TR/Crypt.ZPACK.Gen ».

Aucune inquiétude donc, tous les utilisateurs d’Avira sont déjà protégés.

Un grand merci à Eric Burk du VLAB d’Allemagne pour cette analyse.

 

Sorin Mustaca

IT Security Expert