Firefox 60.0.2 (64 bits) et sites malicieux - Plantage en 1 clic !

[Pierrot31]

Bonjour,

Juste une question à propos de la robustesse de Firefox 60.0.2 (64 bits) sur PC Windows 10.
Je m'étonne en effet que l'on puisse "planter" toute l'application Firefox en cliquant simplement sur un lien qui pointe vers un site web pourri de type phishing.

Bon, vous me direz, il ne faut pas cliquer sur un lien pourri, Ok, d'accord !
Mais comment le reconnaitre à priori ?

Et pourquoi cela bloque toute l'application Firefox, et non pas seulement l'onglet actif ?

Voici un exemple concret (parmi tant d'autres !) pour constater et reproduire ce problème sous ma configuration (sans aucun risque d'infection) :

- Aller sur https://greatsong.net/paroles-ta-mariniere-hoshi
- Cliquer sur "Explication de "TA MARINNIERE""
- Et voilà ! Tout est bloqué ! (pas seulement l'onglet). Message "Erreur #DW6VB36", n° de téléphone à appeler, et message audio...
- On s'en sort facilement via le Gestionnaire de tâches / fin de tâche sur Firefox... mais c'est violent, je trouve...

Après un FAUX message d'infection de virus et une tentative d'arnaque de réparation par téléphone (01 70 71 29 84 -> ne pas appeler, arnaque d'extorsion pour réparer cette fausse infection), toute l'appli Firefox est bloquée...

Il faut alors tuer la tâche via le gestionnaire de tâche pour s'en sortir... (et toujours : aucune infection, il s'agit simplement d'une tentative pour faire peur, inciter les gens à appeler le numéro, et leur extorquer de l'argent).

Je suis surpris de la vulnérabilité de Firefox (et bizarrement je ne constate pas ce problème en essayant avec Microsoft Edge v 42.17134.1.0, en config par défaut)


A moins que ce ne soient mes réglages de sécurité sous Firefox qui sont mal choisis ?
Ou mes plugins ?


Avez-vous un avis la question ?

[Atila59]

Bonjour,

Je viens de faire ta manipulation et je n'ai pas de problème
il est vrai que je dispose de uBlock Origin 1.16.8 pour désactiver les scripts malicieux
Je n'ai pas de message d'erreur
Je te conseilles de supprimer tous tes cookies, caches, connections actives, Données de site web hors connexion

[Pierrot31]

Merci Atila59 pour avoir testé et le retour d'info.

Du coup, je pense que c'est ma config Firefox qui ne va pas...
Mais je ne sais pas encore quoi !

Moi aussi je suis sous uBlock Origin 1.16.8 et aussi Disconnect.

Je dois avoir une faille dans ma config...

Edit: Je viens de réessayer à l'instant, et je n'ai plus le problème. Je n'ai pourtant strictement rien fait entre temps, à part tester sous Edge...
Et je l'ai eu 4 ou 5 fois auparavant...

Je vais essayer de trouver un nouveau lien pour reproduire le phénomène...

Edit 2: Ah ben si ! En fait en "bricolant" avec le site web cité, via l’historique et les recherches Google, en fermant et réouvrant Firefox, je retombe sur cette merde...



Quand on à ce pop-up (à partir de https://greatsong.net/paroles-ta-mariniere-hoshi par exemple), c'est déjà foutu...3
Ensuite quoiqu'on fasse, on obtient l'écran de rançonnage qui bloque totalement Firefox et diffuse en boucle un message audio...
Il faut alors tuer la tâche Firefox pour s'en sortir...

[Atila59]

et après la suppression des cookies, caches, connections actives, Données de site web hors connexion, Qu'est-ce que ça donne ?
il semble d'ailleurs que le problème vienne de http://icebroketherman.tk donc un cookies ou quelque chose dans le genre
Supprime cookies, caches, connections actives, Données de site web hors connexion

[pepersan]

Salut

à outils, options, vie privée, permissions, bloquer les fenêtres popup, prévenir, empêcher c est cochés ?

Faire une analyse avec https://fr.malwarebytes.com/adwcleaner/ et supprimer les éventuelles trouvailles, de même avec https://fr.malwarebytes.com/

[Pierrot31]

@Atila59: Idem !
Problème + ou - aléatoire...
En "jouant" avec le site, j'arrive à retomber sur ce faux virus de temps en temps...
(j'essaye de reproduire avec Edge, sans sucés pour l'instant...)

[Pierrot31]

@pepersan,

Merci pour ton aide.

Oui, "options, vie privée, permissions, bloquer les fenêtres popup, prévenir, empêcher c est cochés !"

et pour https://fr.malwarebytes.com/adwcleaner/ et supprimer les éventuelles trouvailles, de même avec https://fr.malwarebytes.com/ :
non, pas de pb détecté à priori...

Est-ce que quelqu'un arrive à reproduire le phénomène que j'ai décrit ?

PJ:
# -------------------------------
# Malwarebytes AdwCleaner 7.2.0.0
# -------------------------------
# Build: 06-05-2018
# Database: 2018-06-11.1
# Support: https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Scan
# -------------------------------
# Start: 06-11-2018
# Duration: 00:00:11
# OS: Windows 10 Home
# Scanned: 41221
# Detected: 0


***** [ Services ] *****

No malicious services found.

***** [ Folders ] *****

No malicious folders found.

***** [ Files ] *****

No malicious files found.

***** [ DLL ] *****

No malicious DLLs found.

***** [ WMI ] *****

No malicious WMI found.

***** [ Shortcuts ] *****

No malicious shortcuts found.

***** [ Tasks ] *****

No malicious tasks found.

***** [ Registry ] *****

No malicious registry entries found.

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries found.

***** [ Chromium URLs ] *****

No malicious Chromium URLs found.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries found.

***** [ Firefox URLs ] *****

No malicious Firefox URLs found.


AdwCleaner[S00].txt - [1242 octets] - [28/04/2018 13:05:30]

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[S01].txt ##########

[pepersan]

j ai cliqué et pas de problème : Explication de “ Ta Marinière ”

" Ta marinière " est une chanson du nouvel album

Si l’on connait pas encore les crédits pour la chanson, il est fort à parier que Gaëtan Roussel, membre de Louise Attaque, soit derrière.

[pepersan]

Regarde à panneau de configuration, désinstaller un programme, s il y a un logiciel récent installé à ton insu

[filou81158]

Bonsoir,

J'ai cliqué également, et je ne vois rien d'anormal !!

Edit: idem en désactivant uBlock et ScriptSafe

[Pierrot31]

Merci à vous, pour tests et votre aide.

C'est la seconde fois que je me fais avoir : une fois par email de la part d'un ami (un faux !) et là, je n'aurais jamais dû cliquer, mais l'adresse email de l’émetteur m'a berné (adresse email d'une personne très proche de moi, de ma famille).

Et là, 1,5 mois après, juste en surfant sur le site décrit ci-dessus.


Je n'en fais pas une maladie vous savez, pas du tout...

C'est juste que je m'étonnais de voir Firefox planter si facilement sans avertissement (sur un site malveillant, on est bien d'accord !) et devoir aller jusqu'à tuer la tâche pour me débloquer... (+ les vérifs anti-virus, anti adware, etc...)

Je me demandais donc à l'occasion si je n'avais pas un réglage de sécurité un peu faible sous Firefox...

PS: Car si personne n'arrive à repropuire le phénomène en jouant avec cette adresse https://greatsong.net/paroles-ta-marin + cliquer sur explication, alors c'est que ça vient de chez moi !
Si j'arrive à le reproduire systématiquement, je vous le dis...

C'est sûrement lié à un plug-in "vérolé" chez moi (je n'arrive pas à reproduire sous Microsoft Edge)

[Pierrot31]

Regarde à panneau de configuration, désinstaller un programme, s il y a un logiciel récent installé à ton insu

Merci de ton aide.

J'ai regardé, mais rien d'installé récemment.
Ce n'est pas un virus (qui serait installé et exécuté sur le PC, y'a rien !), mais plus un lien vers un site web pourri de phishing.

La nouveauté que je constate (grâce à vous !) c'est que ce n'est pas systématique...
Je l'ai eu un bonne dizaine de fois pourtant, en faisant des tests...

Il me faut maintenant "jouer" avec ce lien pour reproduire le plantage.
(accéder au site https://greatsong.net/paroles-ta-mariniere-hoshi via une recherche Google, ou via l'historique...)

Le message fait "peur' : un écran bleu avec un message flippant et un numéro de tel (01 70 71 29 84) , Firefox est bloqué, et une voix féminine synthétique vous dit que vous êtes infecté par un virus (CE QUI EST FAUX !).

[Pierrot31]

Cette arnaque a été signalée depuis longtemps, et y compris sous Linux (https://forum.ubuntu-fr.org/viewtopic.php?id=2025819) mais j'essaye de comprendre pourquoi mon navigateur Firefox se fait avoir...


https://www.signal-arnaques.com/scam/view/110233
http://www.aquiestcenumero.com/0170712979.html

Taper "01 70 71 29 84" sur Google pour lire les symptômes...

C'est aussi exactement le problème décrit sur ce fil (mais j'ai rien compris !) : https://www.reddit.com/r/TOR/comments/8 ... _a_hacked/

[pepersan]

Tu peux faire un signalement sur le site du ministère de l intérieur :

https://www.interieur.gouv.fr/A-votre-s ... vec-PHAROS

https://www.internet-signalement.gouv.f ... put.action

[Pierrot31]

Oui, j'ai aussi signalé ce n°de tel frauduleux.
(Le pire, c'est qu'il y en a qui non seulement téléphone, mais en plus payent des centaines d'euros pour ce pseudo faux déblocage !!!)

Mais ce n'est pas vraiment le problème que je me pose, qui est plus par rapport à la robustesse de Firefox face à cette "pop-up" bloquante qui paralyse le navigateur... (ou alors les réglages à choisir pour éviter de planter totalement sur un simple clic vers un lien).

Si j'arrive à le reproduire à tous les coups, je vous le dis...

Merci.