Hackers criam músicas sem açúcar com o redirecionamento do Spin.com

Em 27 de outubro, os pesquisadores de segurança da Symantec descobriram que o Spin.com estava redirecionando os visitantes ao kit de exploração Rig, por meio de um iframe injetado.

Os visitantes do site de notícias e resenhas de músicas populares redirecionados foram infectados posteriormente com uma variedade de malware.

Em um post do blog, o pesquisador da Symantec, Ankit Singh, disse que o kit de exploração do Rig se aproveitou de duas vulnerabilidades de execução remota de código (RCE) após uso gratuito do Microsoft Internet Explorer (CVE-2013-2551 e CVE-2014-0322), uma Adobe Vulnerabilidade do Flash Player RCE (CVE-2014-0497), uma vulnerabilidade RCE do Microsoft Silverlight Double Deference (CVE-2013-0074), uma vulnerabilidade de corrupção de memória do Oracle Java SE (CVE-2013-2465), um ambiente de tempo de execução remoto do Java Java SE vulnerabilidade de execução de código (CVE-2012-0507) e uma vulnerabilidade de divulgação de informações do Microsoft Internet Explorer (CVE-2013-7331).

Com a exploração bem-sucedida de qualquer uma dessas vulnerabilidades, uma carga criptografada por XOR seria baixada no computador da vítima. O kit de exploração deixaria cair uma variedade de coisas ruins, como downloaders e ladrões de informações, como Infostealer.Dyranges e o famoso Trojan bancário Zeus.

Pesquisas anteriores da Symantec revelaram como o kit de exploração Rig também pode descartar Trojan.Pandex, Trojan.Zeroaccess, Downloader.Ponik, W32.Waledac.D e ransomware Trojan.Ransomlock.

Embora o Spin.com não esteja mais comprometido, o ataque pode ter afetado um grande número de visitantes, pois o site está classificado entre os 7.000 mais visitados na web, segundo Alexa. Com um ranking Alexa de cerca de 2.800 nos EUA, os visitantes dessa região podem estar particularmente em risco, principalmente porque a Symantec disse que não sabia por quanto tempo o Spin.com ficou comprometido antes de sua descoberta..

Conversando com a SCMagazine, Singh disse que o iframe injetado levou os visitantes redirecionados para uma página de destino altamente ofuscada para o kit de exploração Rig, mas ele não sabia como o site foi inicialmente comprometido..

Ele continuou dizendo que, quando o usuário chegasse à página de destino, o kit de exploração procuraria ignorar qualquer software de segurança em seu computador antes de procurar por plug-ins específicos que ele poderia explorar..

Singh acrescentou que “o Infostealer.Dyranges verifica o URL no navegador para obter serviços bancários on-line e intercepta o tráfego entre o usuário e esses sites; ele pode roubar nomes de usuário e senhas inseridos nos formulários de login desses sites e enviá-los para locais remotos. O Trojan.Zbot reunirá uma variedade de informações sobre o computador comprometido, além de nome de usuário e senhas, que são enviados de volta ao servidor [comando e controle]. Também abre um backdoor através do qual os invasores podem executar várias ações. ”

Singh concluiu que a maneira pela qual o kit de exploração é executado é tal que um usuário típico de computador não está ciente de sua presença em seu sistema.

Segundo a Symantec, seus produtos de segurança já protegem seus usuários contra esse ataque e o mesmo deve ser verdadeiro para todas as outras marcas respeitáveis ​​de software de segurança. No entanto, aconselhamos todos os usuários a garantir que seus softwares de segurança sejam mantidos totalmente atualizados para protegê-los das ameaças mais recentes.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me