هکرها با تغییر مسیر Spin.com موسیقی های ناخوشایندی ایجاد می کنند

[ware_item id=33][/ware_item]

هکرها با تغییر مسیر Spin.com موسیقی های ناخوشایندی ایجاد می کنند


در 27 اکتبر محققان امنیتی در Symantec کشف کردند که Spin.com از طریق iframe تزریقی ، بازدید کنندگان را به کیت سوءاستفاده ریگ هدایت می کند..

بدین ترتیب بازدیدکنندگان از وب سایتهای منتسب به اخبار موسیقی و نظرات که به آن هدایت می شوند ، به طیف وسیعی از بدافزارها آلوده شدند.

محقق Symantec ، Ankit Singh ، در مطلبی در وبلاگ گفت كه كیت بهره برداری Rig از دو آسیب پذیری كد از راه دور پس از اجرای كد از راه دور (RCE) مایکروسافت اینترنت اکسپلورر استفاده كرد (CVE-2013-2551 و CVE-2014-0322) ، Adobe. آسیب پذیری Flash Player RCE (CVE-2014-0497) ، آسیب پذیری آسیب پذیری Microsoft Silverlight Double Defence RCE (CVE-2013-0074) ، آسیب پذیری فساد حافظه جاوا SE SE (CVE-2013-2465) ، محیط زمان اجرا از راه دور جاوا از راه دور Oracle Java SE آسیب پذیری اجرای کد (CVE-2012-0507) و آسیب پذیری افشای اطلاعات اینترنت اکسپلورر مایکروسافت (CVE-2013-7331).

پس از سوء استفاده موفقیت آمیز از هر یک از این آسیب پذیری ها ، یک بار رمزگذاری شده XOR بر روی رایانه قربانی بارگیری می شود. سپس مجموعه سوء استفاده انواع مختلفی از جمله بارگیری ها و دزدی های اطلاعاتی مانند Infostealer.Dyranges و Trojan Banking Zeus معروف بدنام را رها می کند..

تحقیقات قبلی توسط Symantec نشان داد که چگونه کیت بهره برداری Rig همچنین می تواند Trojan.Pandex ، Trojan.Zeroaccess ، Downloader.Ponik ، W32.Waledac.D و ransomware Trojan.Ransomlock را رها کند..

در حالی که Spin.com دیگر به خطر نمی افتد ، طبق گفته الکسا ، این سایت ممکن است تعداد زیادی از بازدید کنندگان را تحت تأثیر قرار دهد زیرا این سایت در بین 7000 برتر بازدید کننده در وب قرار گرفته است. با داشتن رتبه الکسا در حدود 2800 در ایالات متحده ، ممکن است بازدید کنندگان از آن منطقه به خصوص در معرض خطر قرار بگیرند ، به ویژه که Symantec گفت که نمی دانست قبل از کشف Spin.com چه مدت به خطر افتاده است..

در گفتگو با SCMagazine ، سینگ گفت که iframe تزریق شده بازدید کنندگان را به صفحه فرود بسیار مبهم برای کیت بهره برداری Rig هدایت می کند اما او از نحوه اولیه به خطر افتادن وب سایت آگاه نبود..

وی در ادامه گفت: وقتی کاربر به صفحه فرود آمد ، کیت بهره برداری ابتدا می خواهد قبل از جستجوی افزونه های خاص که می توانست از آن استفاده کند ، از هر نرم افزار امنیتی روی رایانه خود دور کند..

سینگ افزود: "Infostealer.Dyranges URL را در مرورگر وب برای خدمات بانکی آنلاین بررسی می کند و باعث ترافیک بین کاربر و این سایت ها می شود. سپس ممکن است نام کاربر و کلمه عبور وارد شده در فرم ورود به سایت این سایت ها را بدزدد و آنها را به مکان های از راه دور ارسال کند. Trojan.Zbot اطلاعات متنوعی درباره رایانه به خطر افتاده ، و همچنین نام و گذرواژه کاربران جمع آوری می کند ، که آنها را به سرور [دستور و کنترل] ارسال می کند. همچنین یک پشتیبان باز می شود که از طریق آن مهاجمان می توانند اقدامات مختلفی انجام دهند. "

سینگ نتیجه گرفت که شیوه اجرای کیت بهره برداری به گونه ای است که یک کاربر رایج رایانه از حضور در سیستم خود آگاه نیست.

طبق گفته های Symantec ، محصولات امنیتی آن قبلاً از کاربران خود در برابر چنین حملاتی محافظت می كنند و همین امر باید در مورد سایر مارك های معتبر نرم افزار امنیتی نیز صادق باشد. با این حال ، ما به همه کاربران توصیه می کنیم تا اطمینان حاصل شود که نرم افزار امنیتی آنها به روز کامل نگه داشته شده است تا بتوانند از جدیدترین تهدیدات محافظت کنند.

هکرها با تغییر مسیر Spin.com موسیقی های ناخوشایندی ایجاد می کنند
admin Author
Sorry! The Author has not filled his profile.