Хиљаде хакованих сајтова заразе посетиоце малваре-ом

Хиљаде хакованих сајтова постало је несвесни учесници у напредној шеми која користи лажне обавештења о ажурирању да би инсталирала банкарски малваре и тројанце са даљинским приступом на рачунаре посетилаца, рекао је истраживач рачунара у уторак.

Кампања, која траје најмање четири мјесеца, може компромитовати веб-локације с различитим системима за управљање садржајем, укључујући ВордПресс, Јоомла и СкуареСпаце. То је, према блогу Јероме Сегуре, водећег аналитичара малваре-а у Малваребитес-у. Хакери, пише он, узрокују да сајтови приказују аутентичне поруке уско циљаном броју посетилаца који, у зависности од претраживача које користе, дају инструкције да инсталирају исправке за Фирефок, Цхроме или Фласх.

Да би избегли откривање, нападачи отискују потенцијалне циљеве како би се, између осталог, осигурало да се лажна обавештења о ажурирању достављају на једну ИП адресу само једном. Још једно сведочанство сналажљивости нападача: предлошци ажурирања су смештени на хакованим сајтовима, док пажљиво одабрани циљеви који падају на превару преузимају злонамерни ЈаваСцрипт фајл из ДропБок-а. ЈаваСцрипт даље проверава потенцијалне ознаке за виртуелне машине и сандбок-ове пре него што достави свој коначни терет. Резултирајући извршни фајл је потписан дигиталним сертификатом поузданим оперативним системом који даље даје лажним обавештењима изглед легитимности.

"Ова кампања се ослања на механизам испоруке који користи социјални инжењеринг и злоупотребљава легитимну услугу хостинга датотека", написао је Сегура. "Датотека" мамац "се састоји од скрипте, а не од злонамерне извршне датотеке, што нападачима пружа флексибилност да развију занимљиве технике скривања и отисака прстију."

Летио испод радара

Нападачи такође лете испод радара коришћењем веома скривеног ЈаваСцрипт-а. Међу злонамерним софтвером који је инсталиран у кампањи био је Цхтхониц банкарски малваре и тројанска верзија НетСуппорт комерцијалне апликације за даљински приступ.

Малваребитес није могао тачно да одреди колико је сајтова угрожено. Користећи једноставан скриптни скрипт, истраживачи су идентификовали неколико стотина компромитованих ВордПресс и Јоомла сајтова, наводећи их да процене да је било хиљада таквих инфекција. Овај упит на претраживачу изворног кода ПублицВВВ открио је у уторак нешто више од 900 заражених СкуареСпаце локација. У време када је овај пост постао активан, број је пао на 774. Овај пост независног истраживача за безбедност, БроадАналисис, показује да је кампања почела не касније од 20. децембра. Сајтови су хакирани зато што оператери нису успели да инсталирају доступне безбедносне исправке или можда нису пратили друге основне сигурносне мјере, рекао је Сегура.

Остале постове на Интернету приказују кампању у акцији. Ова тема Твиттера од прошлог месеца документује два компромитована СкуареСпаце сајта. Пост 28 фебруара на Форуму за подршку СкуареСпацеу извештава о још једном компромису, а други одржавалац сајта доживљава исту ствар скоро две недеље касније.

Кампање које користе угрожене веб-локације за плен посјетитеља постају све чешће у посљедњој деценији. Обично се користе у преварама за подршку на рачунару које покушавају да превари људе да плате да би се поправили непостојећи проблеми са рачунаром. У скорије време, компромитовани веб-сајтови су коришћени за инсталирање рансомваре или малваре-а који потајно минира крипто валуту. Могућност да ова лажна превара ажурирања остане скривена најмање четири месеца, заједно са загрљајем банкарског малваре-а и бацкдоор тројанаца, чини се да се истиче.

"Скривање које се користи у овој кампањи је оно што је привукло нашу пажњу јер га издваја од других ланаца инфекције који су много мање софистицирани и лакши за идентификацију и блокирање", рекао је Сегура Арсу. "Још један интересантан аспект је чињеница да се таква лажна ажурирања обично дистрибуирају путем малваре-а, који је обично јефтинији. Од недавно је једна од популарнијих оптерећења са компромитованих сајтова била техничка подршка преварама преко лоцкера на претраживачу. тренд за много озбиљнији малвер, као што су крадљивци и алати за удаљену администрацију у овом случају. "