Piratai daro nemalonią muziką naudodami „Spin.com“ peradresavimą

Piratai daro nemalonią muziką naudodami „Spin.com“ peradresavimą

Spalio 27 d. „Symantec“ saugumo tyrinėtojai išsiaiškino, kad „Spin.com“ nukreipė „Rig“ eksploatavimo rinkinio lankytojus naudodamas įšvirkšttą „iframe“ rėmelį..

Taip nukreipti populiariosios muzikos naujienų ir apžvalgų tinklalapio lankytojai vėliau buvo užkrėsti daugybe kenkėjiškų programų.

Tinklaraščio įraše „Symantec“ tyrėjas Ankitas Singhas teigė, kad „Rig“ išnaudojimo rinkinys pasinaudojo dviem „Microsoft Internet Explorer“ spragomis, naudojamomis po nuotolinio kodo vykdymo (RCE) pažeidžiamumų (CVE-2013-2551 ir CVE-2014-0322), „Adobe“. „Flash Player RCE“ pažeidžiamumas (CVE-2014-0497), „Microsoft Silverlight Double Deference RCE“ pažeidžiamumas (CVE-2013-0074), „Oracle Java SE“ atminties korupcijos pažeidžiamumas (CVE-2013-2465), „Oracle Java SE“ nuotolinio „Java“ runtime aplinka kodo vykdymo pažeidžiamumas (CVE-2012-0507) ir „Microsoft Internet Explorer“ informacijos atskleidimo pažeidžiamumas (CVE-2013-7331).

Sėkmingai išnaudojus bet kurią iš šių spragų, aukos kompiuteryje būtų atsisiųstas XOR užšifruotas naudingas krovinys. Išnaudojimo rinkinyje tada sumažės daugybė nemalonių dalykų, įskaitant parsisiunčiamuosius failus ir informacijos platintojus, tokius kaip „Infostealer.Dyranges“ ir garsiai pagarsėjusį „Zeus“ banką.

Ankstesni „Symantec“ tyrimai atskleidė, kaip „Rig“ išnaudojimo rinkinys taip pat gali pamesti „Trojan.Pandex“, „Trojan.Zeroaccess“, „Downloader.Ponik“, „W32.Waledac.D“ ir „ransomware Trojan.Ransomlock“..

Nors „Spin.com“ jau nebedaromas pavojus, ataka galėjo paveikti labai daug lankytojų, nes svetainė yra tarp 7 000 populiariausių žiniatinklyje, pasak Alexa. Turint galvoje „Alexa“ reitingą apie 2800 JAV, šio regiono lankytojai galėjo būti ypač rizikingi, juo labiau, kad „Symantec“ teigė nežinanti, kiek laiko Spin.com buvo pakenkta iki jo atradimo..

Kalbėdamasis su „SCMagazine“, Singhas teigė, kad įšvirkšta „iframe“ nukreipė lankytojus į labai užtemdytą „Rig“ eksploatavimo rinkinio nukreipimo puslapį, tačiau jis nežinojo, kaip iš pradžių buvo pažeista svetainė..

Toliau jis sakė, kad vartotojui atėjus į nukreipimo puslapį, išnaudojimo rinkinys pirmiausia ieškos apeinant bet kurią savo kompiuterio saugos programinę įrangą, prieš ieškodamas tam tikrų papildinių, kuriuos jis galėtų panaudoti..

Singhas pridūrė, kad „Infostealer.Dyranges“ patikrina internetinės bankininkystės paslaugų URL naršyklėje ir sulaiko srautą tarp vartotojo ir šių svetainių; tada jis gali pavogti vartotojų vardus ir slaptažodžius, įvestus į šių svetainių prisijungimo formas, ir nusiųsti juos į atokias vietas. „Trojan.Zbot“ surinks įvairią informaciją apie pažeistą kompiuterį, taip pat vartotojo vardus ir slaptažodžius, kuriuos jis siunčia atgal į [komandų ir valdymo] serverį. Tai taip pat atveria duris, per kurias užpuolikai gali atlikti įvairius veiksmus. “

Singhas padarė išvadą, kad eksploatavimo rinkinio vykdymo būdas buvo toks, kad įprastas kompiuterio vartotojas nežinotų apie jo buvimą jų sistemoje..

Anot „Symantec“, jos saugos produktai jau apsaugo vartotojus nuo tokio išpuolio, ir tas pats turėtų būti taikoma ir visiems kitiems patikimiems saugumo programinės įrangos prekių ženklams. Vis dėlto patariame visiems vartotojams pasirūpinti, kad jų saugos programinė įranga būtų nuolat atnaujinama, kad apsaugotų juos nuo naujausių grėsmių..

Piratai daro nemalonią muziką naudodami „Spin.com“ peradresavimą
admin Author
Sorry! The Author has not filled his profile.