G Data a repéré, derrière une vague de spams proposant des liens vers les vidéos de l’attentat de Boston postées sur YouTube, une infection potentielle massive exploitant une faille Java. Derrière l’une des six videos proposées, un code HTML déclenche une applet Java susceptibles de rendre vulnérables les systèmes équipés de Java 7.11. Selon l’analyse de l’éditeur allemand, deux URL ont été identifiées menant à des préjudices potentiels distincts.
Dans le premier mode d’infection, la charge utile nommée newbos3.exe, exécutée sur le système, vole les mots de passe s’ils sont stockés de manière non chiffrée. Firefox et Filezilla sont clairement ciblés dans cette attaque, et peut-être d’autres navigateurs. Le code lit aussi toutes les données envoyées en clair sur le réseau. Au vu de la partie du malware qui analyse le trafic réseau – plus de 800 kilo-octets selon G Data –, celui-ci envoie à un serveur prédéfini des données cryptées qui, probablement transportent les mots de passe volés et les informations du réseau captées. Le mêmespam à l’origine de l’infection est envoyé via l’ordinateur infecté.
Dans le second mode d’infection, quelques minutes après l’infection, l’ordinateur est verrouillé par ransomware en fonction de la localisation et la langue de la victime. L’utilisateur est bloqué et ne peut plus rien faire. En tâche de fond, le spam bot commence son travail (envoi du spam source de l’infection). Aucune action de vol de mot de passe n’a été détectée lors de cette seconde attaque.