Хакеры создают несладкую музыку с помощью перенаправления Spin.com

27 октября исследователи безопасности в Symantec обнаружили, что Spin.com перенаправляет посетителей на набор эксплойтов Rig через встроенный iframe.

Посетители популярного музыкального сайта новостей и обзоров, перенаправленные таким образом, впоследствии были заражены целым рядом вредоносных программ..

В своем блоге исследователь Symantec Анкит Сингх (Ankit Singh) рассказала, что набор эксплойтов Rig использует две уязвимости удаленного выполнения кода (RCE) в Microsoft Internet Explorer (CVE-2013-2551 и CVE-2014-0322), принадлежащие Adobe. Уязвимость Flash Player RCE (CVE-2014-0497), уязвимость Microsoft Silverlight RCE с двойным отношением (CVE-2013-0074), уязвимость, приводящая к повреждению памяти Oracle Java SE (CVE-2013-2465), удаленная среда выполнения Java Java Oracle SE уязвимость выполнения кода (CVE-2012-0507) и уязвимость раскрытия информации в Microsoft Internet Explorer (CVE-2013-7331).

При успешном использовании любой из этих уязвимостей полезная нагрузка с шифрованием XOR будет загружена на компьютер жертвы. Набор эксплойтов затем отбросит множество неприятностей, включая загрузчиков и похитителей информации, таких как Infostealer.Dyranges и пресловутый банковский троян Zeus.

Предыдущее исследование Symantec показало, как комплект эксплойтов Rig может также сбрасывать Trojan.Pandex, Trojan.Zeroaccess, Downloader.Ponik, W32.Waledac.D и вымогателей Trojan.Ransomlock.

Несмотря на то, что Spin.com больше не скомпрометирован, атака, возможно, затронула большое количество посетителей, поскольку сайт входит в число 7 000 самых посещаемых веб-сайтов, согласно данным Alexa. С рейтингом Alexa около 2800 в США, посетители из этого региона могли быть особенно подвержены риску, особенно потому, что Symantec заявила, что не знает, как долго Spin.com был скомпрометирован до своего открытия..

Разговаривая с SCMagazine, Сингх сказал, что введенный iframe перенаправил посетителей на крайне запутанную целевую страницу для комплекта эксплойтов Rig, но он не знал, как изначально сайт был взломан..

Далее он сказал, что когда пользователь попадает на целевую страницу, набор эксплойтов сначала пытается обойти любое защитное программное обеспечение на своем компьютере, прежде чем искать конкретные плагины, которые он затем может использовать..

Сингх добавил, что «Infostealer.Dyranges проверяет URL-адрес в веб-браузере на наличие услуг онлайн-банкинга и перехватывает трафик между пользователем и этими сайтами; затем он может украсть имена пользователей и пароли, введенные в формы входа этих сайтов, и отправить их в удаленные места. Trojan.Zbot будет собирать различную информацию о скомпрометированном компьютере, а также имена пользователей и пароли, которые он отправляет обратно на сервер [command-and-control]. Он также открывает черный ход, через который злоумышленники могут выполнять различные действия ».

Сингх пришел к выводу, что способ запуска набора эксплойтов таков, что обычный пользователь компьютера не будет знать о его присутствии в их системе..

По словам Symantec, его продукты безопасности уже защищают своих пользователей от такой атаки, и то же самое должно быть верно для всех других известных программ безопасности. Однако мы советуем всем пользователям убедиться, что их программное обеспечение безопасности постоянно обновляется, чтобы защитить их от новейших угроз..

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me