Hacker membuat muzik yang tidak manis dengan pengalihan Spin.com
Pada 27 Oktober penyelidik keselamatan di Symantec mendapati bahawa Spin.com telah mengalihkan pengunjung ke kit eksploitasi Rig, melalui iframe yang disuntik.
Pelawat kepada berita muzik yang popular dan ulasan laman web yang diarahkan seterusnya kemudiannya dijangkiti dengan pelbagai malware.
Dalam sebuah catatan blog, penyelidik Symantec, Ankit Singh berkata bahawa kit eksploitasi Rig mengambil kesempatan daripada dua kelemahan pelaksanaan kod kawalan jauh (RCE) Microsoft Internet Explorer (CVE-2013-2551 dan CVE-2014-0322), Adobe Flash Player RCE vulnerability (CVE-2014-0497), kelemahan RCE Microsoft Silverlight Double Rendering (CVE-2013-0074), Oracle Java SE memori kelemahan korupsi (CVE-2013-2465), Oracle Java SE remote Java runtime environment kelemahan pelaksanaan kod (CVE-2012-0507), dan kelemahan maklumat pendedahan maklumat Microsoft Internet Explorer (CVE-2013-7331).
Apabila eksploitasi yang berjaya dari mana-mana kelemahan tersebut, muatan yang disulitkan XOR akan dimuat turun ke komputer mangsa. Kit eksploit kemudiannya akan menjatuhkan pelbagai jenis nasties termasuk penyangak dan pencuri maklumat seperti Infostealer.Dyranges dan perbankan Zeus terkenal yang terkenal.
Penyelidikan sebelumnya oleh Symantec mendedahkan bagaimana kit eksploitasi Rig juga boleh menjatuhkan Trojan.Pandex, Trojan.Zeroaccess, Downloader.Ponik, W32.Waledac.D dan ransomware Trojan.Ransomlock.
Walaupun Spin.com tidak lagi dikompromi, serangan itu mungkin telah menjejaskan sejumlah besar pelawat kerana laman web ini berada di kalangan 7,000 teratas yang paling banyak dikunjungi di web, menurut Alexa. Dengan ranking Alexa sekitar 2,800 di Amerika Syarikat, pelawat dari kawasan itu mungkin berisiko tinggi, terutamanya kerana Symantec berkata ia tidak menyedari berapa lama Spin.com telah dikompromikan sebelum penemuannya.
Bercakap kepada SCMagazine, Singh berkata iframe yang disuntik telah mengalihkan pelawat ke halaman pendaratan yang sangat terobosan untuk kit eksploitasi Rig tetapi dia tidak menyedari betapa laman web itu pada awalnya dikompromi.
Dia terus mengatakan bahawa apabila pengguna tiba di halaman pendaratan, kit eksploit akan mula memintas mana-mana perisian keselamatan di komputer mereka sebelum mencari plugin tertentu yang kemudiannya dapat mengeksploitasi.
Singh menambah bahawa “Infostealer.Dyranges memeriksa URL dalam pelayar web untuk perkhidmatan perbankan dalam talian dan memintas lalu lintas antara pengguna dan laman-laman ini; ia kemudian boleh mencuri nama pengguna dan kata laluan yang dimasukkan ke dalam borang login tapak dan menghantarnya ke lokasi terpencil. Trojan.Zbot akan mengumpulkan pelbagai maklumat mengenai komputer yang dikompromi, serta nama pengguna dan kata laluan, yang ia hantar kembali ke server [command-and-control]. Ia juga membuka pintu belakang di mana penyerang boleh melakukan pelbagai tindakan. “
Singh menyimpulkan bahawa cara kit eksploit dijalankan adalah bahawa pengguna komputer biasa tidak akan menyedari kehadirannya pada sistem mereka.
Menurut Symantec, produk keselamatannya telah melindungi penggunanya daripada serangan sedemikian dan yang sama sepatutnya berlaku untuk semua jenama perisian keselamatan terkemuka lain. Walau bagaimanapun, kami akan menasihati semua pengguna untuk memastikan bahawa perisian keselamatan mereka sentiasa dikemas kini sehingga dapat melindungi mereka dari ancaman terbaru.
17.04.2023 @ 19:33
Saya sangat prihatin dengan temuan Symantec tentang Spin.com yang telah mengalihkan pengunjung ke kit eksploitasi Rig. Ini sangat berbahaya karena pengunjung yang tidak curiga akan terinfeksi dengan malware yang berbahaya. Saya berharap bahwa semua pengguna komputer akan memastikan bahwa perangkat lunak keamanan mereka selalu diperbarui untuk melindungi mereka dari ancaman terbaru. Terima kasih kepada Symantec atas upaya mereka dalam melindungi pengguna internet.