Hakeri veido nemierīgu mūziku, izmantojot vietnes Spin.com novirzīšanu

27. oktobrī Symantec drošības pētnieki atklāja, ka Spin.com, izmantojot ievadītu iframe, novirza apmeklētājus uz Rig exploit kit..

Tādējādi pāradresētās populārās mūzikas ziņu un atsauksmju vietnes apmeklētāji vēlāk tika inficēti ar virkni ļaunprātīgas programmatūras.

Emuāra ierakstā Symantec pētnieks Ankits Sings sacīja, ka Rig exploit kit izmanto divas Microsoft Internet Explorer ievainojamības, kas paredzētas bezsaistes tālvadības izpildes (RCE) ievainojamībām (CVE-2013-2551 un CVE-2014-0322), kas ir Adobe Flash Player RCE ievainojamība (CVE-2014-0497), Microsoft Silverlight Double Deference RCE ievainojamība (CVE-2013-0074), Oracle Java SE atmiņas korupcijas ievainojamība (CVE-2013-2465), Oracle Java SE attālā Java izpildlaika vide koda izpildes ievainojamība (CVE-2012-0507) un Microsoft Internet Explorer informācijas izpaušanas ievainojamība (CVE-2013-7331).

Veiksmīgi izmantojot jebkuru no šīm ievainojamībām, upura datorā tiks lejupielādēta XOR šifrēta derīgā slodze. Pēc tam komplektā kritīs dažādas nasties, tostarp lejupielādētāji un informācijas stealers, piemēram, Infostealer.Dyranges un bēdīgi slavenais Zeus banku Trojas zirgs..

Iepriekšējie Symantec pētījumi atklāja, kā Rig exploit kit var nomest arī Trojan.Pandex, Trojan.Zeroaccess, Downloader.Ponik, W32.Waledac.D un ransomware Trojan.Ransomlock..

Lai gan Spin.com vairs netiek apdraudēts, uzbrukums, iespējams, ir ietekmējis lielu skaitu apmeklētāju, jo vietne tiek ierindota starp 7000 apmeklētākajām tīmeklī, liecina Alexa informācija. Tā kā Alexa vērtējums ASV ir aptuveni 2800, apmeklētāji no šī reģiona var būt īpaši pakļauti riskam, jo ​​īpaši tāpēc, ka Symantec paziņoja, ka nav zinājis, cik ilgi Spin.com bija ticis apdraudēts pirms tā atklāšanas..

Runājot ar SCMagazine, Sins sacīja, ka ievadītais iframe novirza apmeklētājus uz ļoti apmētāto Rig exploit komplekta galveno lapu, taču viņš nezina, kā vietne sākotnēji tika apdraudēta..

Viņš turpināja teikt, ka tad, kad lietotājs ieradās galvenajā lapā, ekspluatācijas komplekts vispirms meklēs apiet jebkuru sava datora drošības programmatūru, pirms meklēs konkrētus spraudņus, kurus pēc tam varētu izmantot.

Singhs piebilda, ka “Infostealer.Dyranges tīmekļa pārlūkā pārbauda tiešsaistes bankas pakalpojumu URL un pārtver trafiku starp lietotāju un šīm vietnēm; pēc tam tā var nozagt lietotāju vārdus un paroles, kas ievadīti šo vietņu pieteikšanās veidlapās, un nosūtīt tos uz attālām vietām. Trojan.Zbot apkopos daudzveidīgu informāciju par apdraudēto datoru, kā arī lietotāja vārdu un paroles, ko tas nosūta atpakaļ uz [komandu vadības un kontroles] serveri. Tas arī atver sētas durvis, caur kurām uzbrucēji var veikt dažādas darbības. ”

Sins secināja, ka ekspluatācijas komplekta izpildes veids bija tāds, ka parasts datora lietotājs nezina par tā klātbūtni viņu sistēmā.

Saskaņā ar Symantec teikto, tā drošības produkti jau aizsargā lietotājus pret šādu uzbrukumu, un tam vajadzētu būt tāpat kā visiem pārējiem cienījamiem drošības programmatūras zīmoliem. Mēs tomēr iesakām visiem lietotājiem nodrošināt, ka viņu drošības programmatūra tiek pilnībā atjaunināta, lai aizsargātu viņus no jaunākajiem draudiem.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me