Gli hacker creano musica non dolce con il reindirizzamento di Spin.com

[ware_item id=33][/ware_item]

Gli hacker creano musica non dolce con il reindirizzamento di Spin.com


Il 27 ottobre i ricercatori sulla sicurezza di Symantec hanno scoperto che Spin.com stava reindirizzando i visitatori al kit exploit Rig, tramite un iframe iniettato.

I visitatori del popolare sito Web di notizie e recensioni musicali reindirizzati sono stati successivamente infettati da una serie di malware.

In un post sul blog, la ricercatrice di Symantec Ankit Singh ha affermato che il kit di exploit Rig ha sfruttato due vulnerabilità di esecuzione di codice remoto (RCE) di Microsoft Internet Explorer (CVE-2013-2551 e CVE-2014-0322), un Adobe Vulnerabilità di Flash Player RCE (CVE-2014-0497), una vulnerabilità di Microsoft Silverlight Double Deference RCE (CVE-2013-0074), una vulnerabilità di corruzione della memoria di Oracle Java SE (CVE-2013-2465), un ambiente di runtime Java remoto di Oracle Java SE vulnerabilità legata all'esecuzione di codice (CVE-2012-0507) e vulnerabilità legata alla divulgazione di informazioni in Microsoft Internet Explorer (CVE-2013-7331).

Dopo lo sfruttamento riuscito di una di queste vulnerabilità, un payload crittografato con XOR verrebbe scaricato sul computer della vittima. Il kit di exploit eliminerebbe quindi una varietà di cattivi tra cui downloader e rubatori di informazioni come Infostealer.Dyranges e il famigerato Trojan bancario Zeus.

Precedenti ricerche di Symantec hanno rivelato come il kit di exploit Rig può anche eliminare Trojan.Pandex, Trojan.Zeroaccess, Downloader.Ponik, W32.Waledac.D e ransomware Trojan.Ransomlock.

Sebbene Spin.com non sia più compromesso, l'attacco potrebbe aver colpito un gran numero di visitatori poiché il sito è classificato tra i primi 7000 più visitati sul web, secondo Alexa. Con una classifica Alexa di circa 2.800 negli Stati Uniti, i visitatori di quella regione potrebbero essere stati particolarmente a rischio, in particolare poiché Symantec ha detto che non era a conoscenza di quanto tempo Spin.com fosse stato compromesso prima della sua scoperta.

Parlando con SCMagazine, Singh ha detto che l'iframe iniettato ha portato i visitatori reindirizzati a una landing page altamente offuscata per il kit exploit Rig ma non era a conoscenza di come il sito Web inizialmente era stato compromesso.

Ha continuato dicendo che quando l'utente è arrivato alla pagina di destinazione il kit di exploit avrebbe prima cercato di bypassare qualsiasi software di sicurezza sul proprio computer prima di cercare plug-in particolari che potesse quindi sfruttare.

Singh ha aggiunto che “Infostealer.Dyranges controlla l'URL nel browser Web per servizi bancari online e intercetta il traffico tra l'utente e questi siti; potrebbe quindi rubare nomi utente e password inseriti nei moduli di accesso di questi siti e inviarli a posizioni remote. Trojan.Zbot raccoglierà una varietà di informazioni sul computer compromesso, nonché il nome e le password degli utenti, che invia al server [comando-controllo]. Apre anche una backdoor attraverso la quale gli attaccanti possono compiere varie azioni. "

Singh ha concluso che il modo in cui viene eseguito l'exploit kit era tale che un tipico utente di computer non sarebbe a conoscenza della sua presenza sul proprio sistema.

Secondo Symantec, i suoi prodotti di sicurezza proteggono già i suoi utenti da un simile attacco e lo stesso dovrebbe valere per tutte le altre marche affidabili di software di sicurezza. Consigliamo tuttavia a tutti gli utenti di assicurarsi che il loro software di sicurezza sia tenuto aggiornato per proteggerli dalle minacce più recenti.

Gli hacker creano musica non dolce con il reindirizzamento di Spin.com
admin Author
Sorry! The Author has not filled his profile.