Hackerii realizează muzică neașteptată cu redirecționarea Spin.com

La 27 octombrie, cercetătorii de securitate de la Symantec au descoperit că Spin.com redirecționează vizitatorii către kitul de exploatare Rig, printr-un iframe injectat.

Vizitatorii site-ului web de știri și recenzii populare redirecționate au fost ulterior infectați cu o serie de malware.

Într-o postare pe blog, cercetătorul Symantec, Ankit Singh, a spus că kitul de exploatare Rig a profitat de două vulnerabilități de utilizare a programului de la distanță (RCE) de la Microsoft Internet Explorer (CVE-2013-2551 și CVE-2014-0322), un Adobe Vulnerabilitate Flash Player RCE (CVE-2014-0497), o vulnerabilitate RCE Microsoft Silverlight Double Deference (CVE-2013-0074), o vulnerabilitate de corupție a memoriei Oracle Java SE (CVE-2013-2465), un mediu de rulare la distanță Java Oracle Java SE. vulnerabilitatea executării codului (CVE-2012-0507) și o vulnerabilitate a dezvăluirii informațiilor Microsoft Internet Explorer (CVE-2013-7331).

După exploatarea cu succes a oricăreia dintre aceste vulnerabilități, o sarcină utilă criptată XOR va fi descărcată pe computerul victimei. Kitul de exploatare ar scăpa apoi o varietate de urâte, inclusiv descărcători și furti de informații, cum ar fi Infostealer.Dyranges și renumitul troian bancar Zeus.

Cercetările anterioare ale Symantec au scos la iveală modul în care kitul de exploatare Rig poate scăpa și Trojan.Pandex, Trojan.Zeroaccess, Downloader.Ponik, W32.Waledac.D și ransomware Trojan.Ransomlock.

În timp ce Spin.com nu mai este compromis, atacul poate să fi afectat un număr mare de vizitatori, deoarece site-ul este clasat în topul celor mai vizitați 7.000 de pe web, potrivit Alexa. Cu un clasament Alexa în jur de 2.800 în SUA, vizitatorii din această regiune ar fi putut fi în special în pericol, mai ales că Symantec a spus că nu știe cât timp a fost compromis Spin.com înainte de descoperirea sa.

Vorbind cu SCMagazine, Singh a spus că iframe injectat i-a redirecționat pe vizitatori către o pagină de destinație extrem de binefăcută pentru kitul de exploatare Rig, dar nu știa cum site-ul a fost compromis inițial..

El a continuat să spună că, atunci când utilizatorul a ajuns pe pagina de destinație, kitul de exploatare va arăta mai întâi să ocolească orice software de securitate de pe computerul său înainte de a căuta pluginuri particulare pe care apoi le putea exploata..

Singh a adăugat că „Infostealer.Dyranges verifică adresa URL din browserul web pentru serviciile bancare online și interceptează traficul între utilizator și aceste site-uri; apoi poate fura numele de utilizator și parolele introduse în formularele de autentificare ale acestor site-uri și le poate trimite în locații la distanță. Trojan.Zbot va aduna o varietate de informații despre computerul compromis, precum și numele și parolele utilizatorilor, pe care le trimite înapoi la serverul [comandă și control]. De asemenea, se deschide un backdoor prin care atacatorii pot efectua diverse acțiuni. “

Singh a concluzionat că modul în care a rulat kitul de exploatare a fost astfel încât un utilizator tipic de computer nu ar fi conștient de prezența sa pe sistemul său.

Potrivit Symantec, produsele sale de securitate își protejează deja utilizatorii împotriva unui astfel de atac și același lucru ar trebui să fie valabil și pentru toate celelalte mărci de software de securitate. Cu toate acestea, am sfătui toți utilizatorii să se asigure că software-ul lor de securitate este ținut la zi pentru a-i proteja de cele mai noi amenințări.