Le 2 juillet 2009 Aucun Commentaire 2 July 2009 No Comment

Plus tôt aujourd'hui, la Tendance Petit Directeur de Compte Technique Fioravante Souza au Brésil a aperçu URL (potentiellement malfaisant) qui réexpédie des utilisateurs du Meilleur Achète le site de domaine.Earlier today, Trend Micro Technical Account Manager Fioravante Souza in Brazil spotted a (potentially harmful) URL that redirects users from the Best Buy domain site.

Les utilisateurs qui visitent www.bestbuy.com, comme il se termine, sont réexpédiés à l'URL, hxxp://pics.bubbled.cn/gallery/hardcore/?23c4f60c1b9f604d6ffb21cba599301f. On constate que la page compromise dans le domaine est la page atterrissante où les visiteurs peuvent choisir la langue à être utilisée puisqu'ils regardent sans acheter dans le site. Directeur de Recherche de menace Ivan Macalintal l'identifie plus loin une vérification de GEO-IP arrive avant d'afficher dite page d'atterrissage. Users who visit www.bestbuy.com, as it turns out, are redirected to the URL, hxxp:// pics.bubbled.cn/gallery/hardcore/?23c4f60c1b9f604d6ffb21cba599301f. The compromised page in the domain is found to be the landing page where visitors can choose the language to be used as they browse within the site. Threat Research Manager Ivan Macalintal further identifies that a GEO-IP check happens prior to displaying the said landing page.

“Si IP demandant est de la région de l'Amérique latine (LAR), les utilisateurs sont réexpédiés au 'choisissent la ' page anglaise ou espagnole — et ensuite le bingo!” Macalintal dit.“If (the) requesting IP is from the Latin America Region (LAR), users are redirected to the ‘choose English or Spanish’ page—and then bingo!” Macalintal says.

Est ci-dessous un screenshot de la page atterrissante et de son code source :Below is a screenshot of the landing page and its source code:

La figure 1 : “ “L'option de langue” la page atterrissante dans le Meilleur Achète le site de domaine. On constate que cette page affiche seulement si le fait de demander est IPwww.bestbuy.com de LAR. Figure 1: The “language option” landing page in the Best Buy domain site. This page is found to display only if the requesting IPwww.bestbuy.com is from LAR.

La figure 2 : Le code source de la page atterrissante. Il montre un ensemble confus du code trouvé en bas du script, un signe clair d'obscurcissement codé. Sous un obscurcissement de 3 couches, un iframe réexpédie l'utilisateur à un site Luckysploit-chargé. Le kit d'exploit de web Luckysploit et l'obscurcissement vu sont évocateurs de cela trouvé dans Gumblar. Figure 2: The source code of the landing page. It shows a garbled set of code found at the bottom of the script, a clear sign of code obfuscation. Beneath a 3-layer obfuscation, an iframe redirects the user to a Luckysploit-laden site. The Luckysploit web exploit kit and the obfuscation seen is reminiscent of that found in Gumblar.

La figure 3 : WHOIS screenshot du site.CN en déclarant qu'il a été créé juste dernier le 4 juin 2009. Figure 3: WHOIS screenshot of the .CN site stating that it has been created just last June 4, 2009.

Mêmes vieux criminelsSame old criminals

La figure 4 : l'enquête de plus montre que le premier site.CN est en fait localisé en Allemagne et est utilisé par les attaquants en Ukraine. Suffisez pour dire, les Russkranians sont les coupables encore une fois. Figure 4: Further investigation shows that the first .CN site is actually located in Germany and is used by attackers in Ukraine. Suffice to say, the Russkranians are the culprits once again.

Achetez le mieux a été informé de dites redirections URL et résout l'affaire à partir de cette écriture. Best Buy has been informed of the said URL redirections and is resolving the matter as of this writing.

Plus de renseignements pour suivre.More information to follow.

Le bout de chapeau au Chercheur de Menace Avancé Paul Ferguson pour fournir plus de renseignements.Hat tip to Advanced Threat Researcher Paul Ferguson for providing more information.

Poste de : TrendLabs | le Blog de Malware - par la Tendance PetitePost from: TrendLabs | Malware Blog - by Trend Micro

Gumblar Envahit Le mieux AchètentGumblar Invades Best Buy