Bardzo niebezpieczny i nietypowy atak na internautów

A

Anonymous

Polscy internauci powoli uczą się już, by nie otwierać niezaufanych załączników z poczty elektronicznej lub plików pobieranych z internetu. Co jednak, gdy okazuje się, że niebezpieczne jest już samo załadowanie złośliwej witryny?

W nasze ręce trafił nietypowy przykład ataku. Wystarczy, by użytkownik, który otrzymał wiadomość, załadował stronę w odpowiedniej przeglądarce by jego komputer został zainfekowany złośliwym oprogramowaniem. To rzadko spotykany w naszym kraju scenariusz.

Exploit kity ukochanym narzędziem przestępców

Od kilku lat przestępcy z lubością korzystają z nowego narzędzia do pasywnego infekowania internautów. Zestaw specjalnie spreparowanych skryptów, wykorzystujących najnowsze podatności w przeglądarkach i wtyczkach takich jak Flash czy Java, czyha na popularnych stronach, często wstrzyknięty przez systemy reklamowe. To dość popularny scenariusz infekcji. Znacznie rzadziej linki do exploit kitów znajdujemy w poczcie elektronicznej.

Dzisiaj około godziny 16 do skrzynek internautów zaczęła trafiać następująca wiadomość:
office01-580x231.png

Co ciekawe, w naszym przepastnym archiwum znaleźliśmy identyczną wiadomość z 16 września. Wtedy była wysyłana z adresu Aneta <aneta@kowaluk-ksiegowosc.pl> a link wskazywał na domenę eoffice365.pl – pozostałe elementy były identyczne. We wrześniu nie udało się nam uchwycić przebiegu ataku – dzisiaj mieliśmy więcej szczęścia.

Kliknięcie w linka z przeglądarki takiej jak Chrome czy Firefox daje następujący efekt:
office02-580x204.png

Co dzieje się w takim razie gdy wejdziemy na tę witrynę z Internet Explorera? Dużo gorsze rzeczy. Na początku zostajemy przekierowani do witryny
JpqdC2rF6UoVFIkE-Obszar.png

gdzie XXX bywa zmienną wartością. Tam z kolei – jeśli spodobamy się serwerowi – otrzymujemy stronę startową Nuclear Exploit Pack, czyli narzędzia, którego zadaniem jest znalezienie podatności w naszej przeglądarce. Analiza tego, co serwuje Nuclear EK trwa, natomiast już teraz wiadomo, że nie jest to program, który chcecie mieć na swoim komputerze. Prawdopodobnie w celu zainfekowania komputera wykorzystywane są najnowsze błędy we Flashu (stąd też zapewne zachęta do użycia IE – Firefox i Chrome mają domyślnie aktywną blokadę Flasha).

Sama domena ieoffice365.pl została zakupiona dzisiaj a serwer hostowany jest pod adresem IP 188.116.19.127 w firmie Nephax. Doświadczenia z września pokazują, że domena może wkrótce wskazywać na zupełnie inny adres IP.

Kliknąłem, co robić

Jeśli dostaliście taką wiadomość i weszliście na linka z Internet Explorera to proponujemy natychmiast wyjąć kabel sieciowy (lub wyłączyć ruter) i udać się do informatyka, który przeinstaluje system. Wszystko wskazuje, ze kliknięcia z innych przeglądarek nie powodują takich skutków.
źr-zaufanatrzeciastrona.pl
 
A

Anonymous

Voodoo + AG...wyłapują tego dziada.Ciekawe jak radzą sobie z nim antyvirki :scratch .
 

artoor

Bardzo aktywny
Zasłużony
Dołączył
6 Lipiec 2012
Posty
1157
Reakcje/Polubienia
0
Miasto
Częstochowa
Hornet napisał:
Voodoo + AG...wyłapują tego kochasia*.Ciekawe jak radzą sobie z nim antyvirki :scratch .
O ile "radzą" to w przypadku AV właściwe słowo :szydera
 
A

Anonymous

nie radzą
... klasyczne av z tego typu szkodnikami jest bezbronne
Kaspry, Pandy czy Bitki leżą i kwiczą :szydera
 
Do góry