Hakerzy tworzą niesłabnącą muzykę dzięki przekierowaniu Spin.com

27 października analitycy bezpieczeństwa z Symantec odkryli, że Spin.com przekierowywał odwiedzających do zestawu exploitów Rig za pośrednictwem wstrzykiwanego elementu iframe.

Odwiedzający stronę z wiadomościami i recenzjami muzyki popularnej, którą przekierowano, zostali następnie zainfekowani szeregiem złośliwego oprogramowania.

W poście na blogu Ankit Singh, badacz firmy Symantec, powiedział, że zestaw exploitów Rig wykorzystał dwie luki w zabezpieczeniach programu Microsoft Internet Explorer do bezpłatnego zdalnego wykonania kodu (RCE) (CVE-2013-2551 i CVE-2014-0322), Adobe Luka w zabezpieczeniach Flash Player RCE (CVE-2014-0497), luka w zabezpieczeniach Microsoft Silverlight Double Deference RCE (CVE-2013-0074), podatność na uszkodzenie pamięci Oracle Java SE (CVE-2013-2465), środowisko uruchomieniowe Java Java Java Oracle Oracle SE luka w zabezpieczeniach wykonania kodu (CVE-2012-0507) oraz luka w ujawnieniu informacji Microsoft Internet Explorer (CVE-2013-7331).

Po udanym wykorzystaniu którejkolwiek z tych luk, na komputer ofiary zostanie pobrany ładunek zaszyfrowany XOR. Zestaw exploitów upuściłby wtedy wiele nieprzyjemności, w tym programy do pobierania i kradzieży informacji, takie jak Infostealer.Dyranges i znany trojan bankowy Zeus.

Wcześniejsze badania przeprowadzone przez firmę Symantec wykazały, w jaki sposób zestaw exploitów Rig może również upuszczać Trojan.Pandex, Trojan.Zeroaccess, Downloader.Ponik, W32.Waledac.D i ransomware Trojan.Ransomlock.

Chociaż Spin.com nie jest już zagrożony, atak mógł wpłynąć na ogromną liczbę odwiedzających, ponieważ strona jest w rankingu wśród 7 000 najczęściej odwiedzanych w sieci, według Alexy. Z rankingiem Alexa wynoszącym około 2800 w Stanach Zjednoczonych, odwiedzający z tego regionu mogli być szczególnie zagrożeni, zwłaszcza, że ​​Symantec powiedział, że nie wiedział, jak długo zagrożona była Spin.com przed jego odkryciem.

W rozmowie z SCMagazine Singh powiedział, że wstrzyknięty iframe zabrał przekierowanych gości na mocno zaciemnioną stronę docelową zestawu exploitów Rig, ale nie wiedział, w jaki sposób strona została początkowo zaatakowana.

Następnie powiedział, że gdy użytkownik dotrze na stronę docelową, zestaw exploitów będzie najpierw próbował ominąć oprogramowanie zabezpieczające na swoim komputerze, a następnie wyszuka określone wtyczki, które mógłby następnie wykorzystać.

Singh dodał, że „Infostealer.Dyranges sprawdza adres URL w przeglądarce internetowej w poszukiwaniu usług bankowości internetowej i przechwytuje ruch między użytkownikiem a tymi stronami; może wówczas kraść nazwy użytkowników i hasła wprowadzone do formularzy logowania tych witryn i wysyłać je do zdalnych lokalizacji. Trojan.Zbot zbierze różne informacje o zainfekowanym komputerze, a także nazwę użytkownika i hasło, które odeśle z powrotem na serwer [Command-and-Control]. Otwiera także backdoor, przez który atakujący mogą wykonywać różne czynności. ”

Singh doszedł do wniosku, że sposób działania zestawu exploitów był taki, że typowy użytkownik komputera nie byłby świadomy jego obecności w swoim systemie.

Według firmy Symantec jej produkty zabezpieczające już chronią użytkowników przed takim atakiem i to samo powinno dotyczyć wszystkich innych renomowanych marek oprogramowania zabezpieczającego. Zalecamy jednak wszystkim użytkownikom, aby ich oprogramowanie zabezpieczające było w pełni aktualne w celu ochrony przed najnowszymi zagrożeniami.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me