Хакери праве непријатну музику са преусмеравањем Спин.цом-а


27. октобра истраживачи безбедности у Симантецу открили су да Спин.цом преусмерава посетиоце на Риг екплоит кит помоћу ињектованог ифраме-а.

Посетиоци популарне вести о музичким вестима и критикама преусмерени су на тај начин накнадно заражени низом злонамјерног софтвера.

У посту на блогу, истраживач Симантец-а Анкит Сингх рекао је да је комплет за експлоатацију Риг искористио две рањивости Мицрософт Интернет Екплорер-а без употребе даљинског извођења даљинског кода (РЦЕ) (ЦВЕ-2013-2551 и ЦВЕ-2014-0322), Адобе Рањивост Фласх Плаиер-а РЦЕ (ЦВЕ-2014-0497), рањивост Мицрософт Силверлигхт Доубле Деференце РЦЕ (ЦВЕ-2013-0074), рањивост оштећења Орацле Јава СЕ меморије (ЦВЕ-2013-2465), удаљено рунтиме окружење Јава Орацле Јава СЕ рањивост извршења кода (ЦВЕ-2012-0507) и рањивост откривања података Мицрософт Интернет Екплорер (ЦВЕ-2013-7331).

Након успешне експлоатације било које од тих рањивости, оптерећење оптерећено КСОР-ом би се пребацило на рачунар жртве. Тада би експлоатациони комплет бацио разне настије, укључујући преузимаче и продаваче информација попут Инфостеалер.Дирангес и злогласног Зеус банкарског тројанца.

Претходно истраживање Симантец-а открило је како Риг екплоит кит такође може одбацити Тројан.Пандек, Тројан.Зероаццесс, Довнлоадер.Поник, В32.Валедац.Д и рансомваре Тројан.Рансомлоцк.

Иако Спин.цом више није угрожен, напад је могао да утиче на велики број посетилаца јер је веб локација рангирана међу првих 7.000 најпосећенијих на мрежи, наводи Алека. Са Алека рангом од око 2800 у Америци, посетиоци из те регије можда су били посебно у опасности, нарочито пошто је Симантец рекао да није свестан колико дуго је Спин.цом био угрожен пре његовог открића..

Разговарајући са СЦМагазине, Синг је рекао да је убризгани ифраме одвео преусмерене посетиоце на веома загађену одредишну страницу за Риг екплоит кит, али није био свестан како је веб локација у почетку била угрожена.

Даље је рекао да ће, када корисник дође на одредишну страницу, комплет за експлоатацију прво покушати да заобиђе било који безбедносни софтвер на свом рачунару, пре него што потражи одређене додатке које би потом могао да користи.

Синг је додао да „Инфостеалер.Дирангес проверава УРЛ у веб претраживачу за интернетске банкарске услуге и пресреће промет између корисника и тих веб локација; тада може украсти корисничка имена и лозинке које су унесене у обрасце за пријаву на тим веб локацијама и послати их на удаљене локације. Тројан.Збот ће прикупљати разне информације о компромитованом рачунару, као и корисничко име и лозинке које враћа на [командно-управљачки] сервер. Такође отвара позадину кроз коју нападачи могу обављати различите акције. “

Синг је закључио да је начин на који функционише кит за експлоатацију био такав да типични корисник рачунара не би био свестан његове присутности у њиховом систему.

Према Симантецу, његови безбедносни производи већ штите своје кориснике од таквог напада, а исто би требало да важи и за све остале угледне брендове сигурносног софтвера. Међутим, саветујемо свим корисницима да осигурају да се њихов безбедносни софтвер ажурира у потпуности како би их заштитио од најновијих претњи.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map