Οι χάκερ κάνουν μουσική χωρίς μουσική με την ανακατεύθυνση του Spin.com
Στις 27 Οκτωβρίου, οι ερευνητές ασφάλειας της Symantec ανακάλυψαν ότι ο Spin.com ανακατευθύνει τους επισκέπτες στο κιτ εκμετάλλευσης Rig, μέσω ενός iframe.
Οι επισκέπτες του ιστότοπου ειδήσεων δημοσίων μουσικών ειδήσεων και των αναθεωρημένων ιστότοπων αναθεωρήθηκαν έτσι στη συνέχεια μολύνθηκαν με μια σειρά κακόβουλου λογισμικού.
Σε μια δημοσίευση στο blog, ο ερευνητής της Symantec, Ankit Singh, δήλωσε ότι το κιτ εκμετάλλευσης Rig εκμεταλλεύτηκε τα τρωτά σημεία του Microsoft Internet Explorer (CVE-2013-2551 και CVE-2014-0322) (CVE-2013-2465), ένα απομακρυσμένο περιβάλλον εκτέλεσης δεδομένων Java Oracle Java SE (CVE-2014-0497), ένα ευπάθεια RCE του Microsoft Silverlight διπλής εξουσίας (CVE-2013-0074) την ευπάθεια εκτέλεσης κώδικα (CVE-2012-0507) και την ευπάθεια αποκάλυψης πληροφοριών του Microsoft Internet Explorer (CVE-2013-7331).
Μετά την επιτυχή εκμετάλλευση οποιουδήποτε από αυτά τα τρωτά σημεία, θα φορτωθεί ένα κρυπτογραφημένο ωφέλιμο φορτίο XOR στον υπολογιστή του θύματος. Το κιτ εκμετάλλευσης θα έπεσε στη συνέχεια μια ποικιλία από nasties συμπεριλαμβανομένων downloaders και stealers πληροφορίες όπως Infostealer.Dyranges και το περιβόητο Zeus τραπεζικό Trojan.
Προηγούμενη έρευνα από τη Symantec αποκάλυψε πως το κιτ εκμεταλλεύσεων Rig μπορεί επίσης να πέσει Trojan.Pandex, Trojan.Zeroaccess, Downloader.Ponik, W32.Waledac.D και ransomware Trojan.Ransomlock.
Παρόλο που το Spin.com δεν διακυβεύεται πλέον, η επίθεση μπορεί να έχει επηρεάσει μεγάλο αριθμό επισκεπτών, καθώς ο ιστότοπος κατατάσσεται ανάμεσα στους κορυφαίους 7.000 που επισκέφθηκε περισσότερο στο διαδίκτυο, σύμφωνα με την Alexa. Με μια κατάταξη Alexa στις ΗΠΑ περίπου 2.800, οι επισκέπτες από την περιοχή αυτή ενδέχεται να έχουν ιδιαίτερο κίνδυνο, ιδιαίτερα καθώς η Symantec δήλωσε ότι δεν γνώριζε για πόσο καιρό το Spin.com είχε συμβιβαστεί πριν από την ανακάλυψή της.
Μιλώντας στο SCMagazine, ο Singh δήλωσε ότι το iframe που εγχέεται ανακατευθύνει τους επισκέπτες σε μια εξαιρετικά ζαρωμένη σελίδα προορισμού για το κιτ εκμετάλλευσης Rig αλλά δεν γνώριζε πώς ο ιστότοπος αρχικά διακυβεύτηκε.
Συνέχισε να λέει ότι όταν ο χρήστης έφτασε στη σελίδα προορισμού, το κιτ εκμετάλλευσης θα κοιτούσε αρχικά να παρακάμπτει οποιοδήποτε λογισμικό ασφαλείας στον υπολογιστή του πριν ψάξει για συγκεκριμένα πρόσθετα που θα μπορούσε να εκμεταλλευτεί.
Ο Singh πρόσθεσε ότι "ο Infostealer.Dyranges ελέγχει τη διεύθυνση URL στο πρόγραμμα περιήγησης ιστού για υπηρεσίες ηλεκτρονικής τραπεζικής και παρακολουθεί την κυκλοφορία μεταξύ του χρήστη και αυτών των ιστότοπων. μπορεί στη συνέχεια να κλέψει τα ονόματα χρηστών και τους κωδικούς πρόσβασης που έχουν εισαχθεί στις φόρμες σύνδεσης αυτών των ιστότοπων και να τα στείλει σε απομακρυσμένες τοποθεσίες. Το Trojan.Zbot θα συγκεντρώσει μια ποικιλία πληροφοριών σχετικά με τον συμβιβασμένο υπολογιστή, καθώς και το όνομα χρήστη και τους κωδικούς πρόσβασης, τους οποίους στέλνει ξανά στον εξυπηρετητή [command-and-control]. Ανοίγει επίσης ένα backdoor μέσω του οποίου οι εισβολείς μπορούν να εκτελούν διάφορες ενέργειες. "
Ο Singh κατέληξε στο συμπέρασμα ότι ο τρόπος με τον οποίο λειτουργεί το κιτ εκμετάλλευσης ήταν τέτοιος ώστε ένας τυπικός χρήστης του υπολογιστή δεν θα γνώριζε την παρουσία του στο σύστημά του.
Σύμφωνα με τη Symantec, τα προϊόντα ασφαλείας της προστατεύουν ήδη τους χρήστες της από μια τέτοια επίθεση και το ίδιο θα πρέπει να ισχύει και για όλες τις άλλες αξιόπιστες μάρκες λογισμικού ασφάλειας. Θα συνιστούσαμε, ωστόσο, σε όλους τους χρήστες να διασφαλίζουν ότι το λογισμικό ασφαλείας τους είναι πλήρως ενημερωμένο ώστε να προστατεύεται από τις πιο πρόσφατες απειλές.
Οι χάκερ κάνουν μουσική χωρίς μουσική με την ανακατεύθυνση του Spin.com
Στις 27 Οκτωβρίου, οι ερευνητές ασφάλειας της Symantec ανακάλυψαν ότι ο Spin.com ανακατευθύνει τους επισκέπτες στο κιτ εκμετάλλευσης Rig, μέσω ενός iframe.
Οι επισκέπτες του ιστότοπου ειδήσεων δημοσίων μουσικών ειδήσεων και των αναθεωρημένων ιστότοπων αναθεωρήθηκαν έτσι στη συνέχεια μολύνθηκαν με μια σειρά κακόβουλου λογισμικού.
Σε μια δημοσίευση στο blog, ο ερευνητής της Symantec, Ankit Singh, δήλωσε ότι το κιτ εκμετάλλευσης Rig εκμεταλλεύτηκε τα τρωτά σημεία του Microsoft Internet Explorer (CVE-2013-2551 και CVE-2014-0322) (CVE-2013-2465), ένα απομακρυσμένο περιβάλλον εκτέλεσης δεδομένων Java Oracle Java SE (CVE-2014-0497), ένα ευπάθεια RCE του Microsoft Silverlight διπλής εξουσίας (CVE-2013-0074) την ευπάθεια εκτέλεσης κώδικα (CVE-2012-0507) και την ευπάθεια αποκάλυψης πληροφοριών του Microsoft Internet Explorer (CVE-2013-7331).
Μετά την επιτυχή εκμετάλλευση οποιουδήποτε από αυτά τα τρωτά σημεία, θα φορτωθεί ένα κρυπτογραφημένο ωφέλιμο φορτίο XOR στον υπολογιστή του θύματος. Το κιτ εκμετάλλευσης θα έπεσε στη συνέχεια μια ποικιλία από nasties συμπεριλαμβανομένων downloaders και stealers πληροφορίες όπως Infostealer.Dyranges και το περιβόητο Zeus τραπεζικό Trojan.
Προηγούμενη έρευνα από τη Symantec αποκάλυψε πως το κιτ εκμεταλλεύσεων Rig μπορεί επίσης να πέσει Trojan.Pandex, Trojan.Zeroaccess, Downloader.Ponik, W32.Waledac.D και ransomware Trojan.Ransomlock.
Παρόλο που το Spin.com δεν διακυβεύεται πλέον, η επίθεση μπορεί να έχει επηρεάσει μεγάλο αριθμό επισκεπτών, καθώς ο ιστότοπος κατατάσσεται ανάμεσα στους κορυφαίους 7.000 που επισκέφθηκε περισσότερο στο διαδίκτυο, σύμφωνα με την Alexa. Με μια κατάταξη Alexa στις ΗΠΑ περίπου 2.800, οι επισκέπτες από την περιοχή αυτή ενδέχεται να έχουν ιδιαίτερο κίνδυνο, ιδιαίτερα καθώς η Symantec δήλωσε ότι δεν γνώριζε για πόσο καιρό το Spin.com είχε συμβιβαστεί πριν από την ανακάλυψή της.
Μιλώντας στο SCMagazine, ο Singh δήλωσε ότι το iframe που εγχέεται ανακατευθύνει τους επισκέπτες σε μια εξαιρετικά ζαρωμένη σελίδα προορισμού για το κιτ εκμετάλλευσης Rig αλλά δεν γνώριζε πώς ο ιστότοπος αρχικά διακυβεύτηκε.
Συνέχισε να λέει ότι όταν ο χρήστης έφτασε στη σελίδα προορισμού, το κιτ εκμετάλλευσης θα κοιτούσε αρχικά να παρακάμπτει οποιοδήποτε λογισμικό ασφαλείας στον υπολογιστή του πριν ψάξει για συγκεκριμένα πρόσθετα που θα μπορούσε να εκμεταλλευτεί.
Ο Singh πρόσθεσε ότι "ο Infostealer.Dyranges ελέγχει τη διεύθυνση URL στο πρόγραμμα περιήγησης ιστού για υπηρεσίες ηλεκτρονικής τραπεζικής και παρακολουθεί την κυκλοφορία μεταξύ του χρήστη και αυτών των ιστότοπων. μπορεί στη συνέχεια να κλέψει τα ονόματα χρηστών και τους κωδικούς πρόσβασης που έχουν εισαχθεί στις φόρμες σύνδεσης αυτών των ιστότοπων και να τα στείλει σε απομακρυσμένες τοποθεσίες. Το Trojan.Zbot θα συγκεντρώσει μια ποικιλία πληροφοριών σχετικά με τον συμβιβασμένο υπολογιστή, καθώς και το όνομα χρήστη και τους κωδικούς πρόσβασης, τους οποίους στέλνει ξανά στον εξυπηρετητή [command-and-control]. Ανοίγει επίσης ένα backdoor μέσω του οποίου οι εισβολείς μπορούν να εκτελούν διάφορες ενέργειες. "
Ο Singh κατέληξε στο συμπέρασμα ότι ο τρόπος με τον οποίο λειτουργεί το κιτ εκμετάλλευσης ήταν τέτοιος ώστε ένας τυπικός χρήστης του υπολογιστή δεν θα γνώριζε την παρουσία του στο σύστημά του.
Σύμφωνα με τη Symantec, τα προϊόντα ασφαλείας της προστατεύουν ήδη τους χρήστες της από μια τέτοια επίθεση και το ίδιο θα πρέπει να ισχύει και για όλες τις άλλες αξιόπιστες μάρκες λογισμικού ασφάλειας. Θα συνιστούσαμε, ωστόσο, σε όλους τους χρήστες να διασφαλίζουν ότι το λογισμικό ασφαλείας τους είναι πλήρως ενημερωμένο ώστε να προστατεύεται από τις πιο πρόσφατες απειλές.