Hacker machen mit der Spin.com-Weiterleitung unsüße Musik

[ware_item id=33][/ware_item]

Hacker machen mit der Spin.com-Weiterleitung unsüße Musik


Am 27. Oktober stellten Sicherheitsforscher von Symantec fest, dass Spin.com Besucher über einen injizierten Iframe zum Rig-Exploit-Kit weiterleitet.

Besucher der so umgeleiteten Website für populäre Musiknachrichten und Rezensionen wurden anschließend mit einer Reihe von Schadprogrammen infiziert.

In einem Blogbeitrag sagte Symantec-Forscher Ankit Singh, dass das Rig-Exploit-Kit zwei Microsoft Internet Explorer-Sicherheitsanfälligkeiten (CVE-2013-2551 und CVE-2014-0322) ausnutzt, die nach dem freien Gebrauch von Remotecode ausgeführt werden Flash Player RCE-Sicherheitsanfälligkeit (CVE-2014-0497), Microsoft Silverlight Double Deference RCE-Sicherheitsanfälligkeit (CVE-2013-0074), Oracle Java SE-Sicherheitsanfälligkeit bezüglich Speicherbeschädigung (CVE-2013-2465), Oracle Java SE-Remote-Java-Laufzeitumgebung Sicherheitsanfälligkeit in Bezug auf Codeausführung (CVE-2012-0507) und Offenlegung von Informationen in Microsoft Internet Explorer (CVE-2013-7331).

Bei erfolgreicher Ausnutzung einer dieser Sicherheitsanfälligkeiten wird eine XOR-verschlüsselte Nutzlast auf den Computer des Opfers heruntergeladen. Das Exploit-Kit würde dann eine Vielzahl von Bösartigkeiten ablegen, darunter Downloader und Informationsdealer wie Infostealer.Dyranges und den berüchtigten Zeus-Banking-Trojaner.

Frühere Untersuchungen von Symantec haben ergeben, dass das Rig-Exploit-Kit auch Trojan.Pandex, Trojan.Zeroaccess, Downloader.Ponik, W32.Waledac.D und die Ransomware Trojan.Ransomlock löschen kann.

Obwohl Spin.com nicht mehr gefährdet ist, hat der Angriff möglicherweise eine große Anzahl von Besuchern getroffen, da die Website laut Alexa unter den Top-7.000 der am häufigsten besuchten Websites liegt. Mit einem Alexa-Ranking von rund 2.800 in den USA waren Besucher aus dieser Region möglicherweise besonders gefährdet, zumal Symantec nicht wusste, wie lange Spin.com vor seiner Entdeckung kompromittiert worden war.

Im Gespräch mit SCMagazine sagte Singh, der injizierte Iframe habe umgeleitete Besucher auf eine stark verschleierte Zielseite für das Rig-Exploit-Kit geführt, aber er wisse nicht, wie die Website anfangs kompromittiert worden sei.

Er fuhr fort, dass das Exploit-Kit bei der Ankunft des Benutzers auf der Zielseite zunächst versucht, die Sicherheitssoftware auf seinem Computer zu umgehen, bevor nach bestimmten Plugins gesucht wird, die es dann ausnutzen kann.

Singh fügte hinzu: „Infostealer.Dyranges überprüft die URL im Webbrowser auf Online-Banking-Dienste und fängt den Verkehr zwischen dem Benutzer und diesen Websites ab. Es kann dann Benutzernamen und Kennwörter stehlen, die in die Anmeldeformulare dieser Sites eingegeben wurden, und diese an entfernte Standorte senden. Trojan.Zbot sammelt eine Vielzahl von Informationen über den gefährdeten Computer sowie Benutzernamen und Kennwörter, die es an den [Befehls- und Kontroll] -Server zurücksendet. Es öffnet auch eine Hintertür, durch die Angreifer verschiedene Aktionen ausführen können. “

Singh kam zu dem Schluss, dass das Exploit-Kit so ausgeführt wurde, dass sich ein typischer Computerbenutzer seiner Präsenz auf seinem System nicht bewusst war.

Laut Symantec schützen seine Sicherheitsprodukte seine Benutzer bereits vor einem solchen Angriff, und dies sollte auch für alle anderen seriösen Marken von Sicherheitssoftware gelten. Wir empfehlen jedoch allen Benutzern, ihre Sicherheitssoftware auf dem neuesten Stand zu halten, um sie vor den neuesten Bedrohungen zu schützen.

Hacker machen mit der Spin.com-Weiterleitung unsüße Musik
admin Author
Sorry! The Author has not filled his profile.