Hackare skapar osöt musik med Spin.com-omdirigering

[ware_item id=33][/ware_item]

Hackare skapar osöt musik med Spin.com-omdirigering


Den 27 oktober upptäckte säkerhetsforskare vid Symantec att Spin.com omdirigerade besökare till Rig exploit-kit, via en injicerad iframe.

Besökare på den populära musiknyheterna och recensionens webbplats som omdirigerades alltså infekterades därefter med en rad malware.

I ett blogginlägg sade Symantec-forskaren Ankit Singh att Rig exploit-kit utnyttjade två Microsoft Internet Explorer-användning-efter-fri exekvering av extern kod (RCE) (CVE-2013-2551 och CVE-2014-0322), en Adobe Flash Player RCE-sårbarhet (CVE-2014-0497), en Microsoft Silverlight Double Deference RCE-sårbarhet (CVE-2013-0074), en Oracle Java SE-minneskorruptionssårbarhet (CVE-2013-2465), en Oracle Java SE-fjärr Java runtime-miljö kodutförande-sårbarhet (CVE-2012-0507) och en Microsoft Internet Explorer-informationssäkerhetsproblem (CVE-2013-7331).

Efter en framgångsrik exploatering av någon av dessa sårbarheter skulle en XOR-krypterad nyttolast laddas ner till offrets dator. Utnyttelsessatsen skulle då släppa en mängd olika nasties inklusive nedladdare och informationsstealers som Infostealer.Dyranges och den ökända Zeus-bank-trojanen.

Tidigare forskning från Symantec avslöjade hur Rig exploit-kit också kan släppa Trojan.Pandex, Trojan.Zeroaccess, Downloader.Ponik, W32.Waledac.D och ransomware Trojan.Ransomlock.

Medan Spin.com inte längre äventyras kan attacken ha påverkat ett stort antal besökare eftersom webbplatsen rankas bland de 7 000 bästa besökta på webben, enligt Alexa. Med en Alexa-ranking på cirka 2 800 i USA kan besökare från den regionen ha varit särskilt utsatta, särskilt eftersom Symantec sa att det inte var medvetet om hur länge Spin.com hade äventyrats innan den upptäcktes.

Singh pratade med SCMagazine och sade att den injicerade iframe tog omdirigerade besökare till en mycket obuskerad målsida för Rig exploit-kit men han var inte medveten om hur webbplatsen ursprungligen komprometterades.

Han fortsatte med att säga att när användaren anlände till målsidan skulle exploit-kitet först se ut för att kringgå säkerhetsprogramvara på sin dator innan han sökte efter specifika plugins som det sedan kunde utnyttja.

Singh tillade att “Infostealer.Dyranges kontrollerar webbadressen i webbläsaren för online-banktjänster och avbryter trafik mellan användaren och dessa webbplatser; det kan då stjäla användarnamn och lösenord som matas in i dessa webbplatsers inloggningsformulär och skicka dem till avlägsna platser. Trojan.Zbot kommer att samla in en mängd information om den komprometterade datorn, samt användarnas namn och lösenord, som den skickar tillbaka till [kommando-och-kontroll] -servern. Det öppnar också en bakdörr genom vilken angripare kan utföra olika åtgärder. "

Singh drog slutsatsen att det sätt på vilket exploit-kit kördes var så att en typisk datoranvändare inte skulle vara medveten om dess närvaro på deras system.

Enligt Symantec skyddar dess säkerhetsprodukter redan sina användare mot en sådan attack och samma sak bör vara sant för alla andra ansedda märken av säkerhetsprogramvara. Vi rekommenderar dock alla användare att se till att deras säkerhetsprogramvara hålls uppdaterad för att skydda dem från de senaste hoten.

Hackare skapar osöt musik med Spin.com-omdirigering
admin Author
Sorry! The Author has not filled his profile.