Début 2015, les visiteurs du site adulte xHamster ont subi une vague massive de malwares, selon un rapport de Malwarebytes. Les 25 et 26 janvier 2015, les infections ont bondi de 1 500 % en provenance de ce site.
Malheureusement, des traces persistent encore.
Que s'est-il passé ? Comment vous désinfecter si vous êtes touché ? Et comment vous protéger efficacement ?
Selon Malwarebytes, la page d'accueil de xHamster redirigeait vers traffichaus.com via une iframe malveillante. Celle-ci exploitait une vulnérabilité d'Adobe Flash Player pour déployer le malware Bedep. Cette technique, appelée malvertising, injecte des pubs piégées et échappe souvent aux antivirus. IBTimes rapporte que 57 outils ont raté l'iframe, seuls deux détectant le téléchargement.
Cette attaque repose sur un kit d'exploitation (EK) nommé Angler, expert en vulnérabilités zero-day. Angler combine des méthodes avancées pour contourner les défenses et domine les services "pay-per-install" chez les cybercriminels.
Une fois installé, Angler dépose Bedep qui se connecte à un serveur de commande (C&C) pour recevoir des ordres : téléchargements additionnels ou pubs frauduleuses.
Bedep se camouflait en chargeant en mémoire via un bureau virtuel et un faux Internet Explorer, masqué par des fichiers Microsoft légitimes. Les antivirus leaders ont depuis mis à jour leurs signatures pour le détecter.
Bedep peut voler vos données, désactiver l'antivirus, altérer le système ou même propager de la propagande politique, comme révélé par Trustwave.
Si infecté, agissez vite : Bedep peut évoluer vers du vol de données ou un botnet zombie.
Windows Defender (ou Microsoft Security Essentials sur Windows 7 et antérieurs) le détecte, mais optez pour plus robuste.
Malwarebytes Anti-Malware est idéal : il scanne, supprime et protège contre les exploits en temps réel. Recommandé sur les forums de sécurité.
Évitez xHamster, site récidiviste comme Pornhub ou RedTube.
Adobe Flash est obsolète et vulnérable ; mettez-le à jour uniquement via adobe.com et envisagez de le désactiver.
Angler cible les failles non patchées, y compris les zero-day Flash. Maintenez tout à jour.
Les adblockers aident contre le malvertising, mais pas contre JavaScript pur.
xHamster (top 79 Alexa) attire les malwares car peu sécurisé. Tous les sites Flash sont à risque.
Restez vigilant : fuyez les sites suspects, refusez les downloads, utilisez un antivirus fiable et patcher systématiquement.
Avez-vous combattu Bedep ? Quels outils ont marché ? Partagez en commentaires !
