A
Anonymous
źr-zaufanatrzeciastrona.plPolscy internauci powoli uczą się już, by nie otwierać niezaufanych załączników z poczty elektronicznej lub plików pobieranych z internetu. Co jednak, gdy okazuje się, że niebezpieczne jest już samo załadowanie złośliwej witryny?
W nasze ręce trafił nietypowy przykład ataku. Wystarczy, by użytkownik, który otrzymał wiadomość, załadował stronę w odpowiedniej przeglądarce by jego komputer został zainfekowany złośliwym oprogramowaniem. To rzadko spotykany w naszym kraju scenariusz.
Exploit kity ukochanym narzędziem przestępców
Od kilku lat przestępcy z lubością korzystają z nowego narzędzia do pasywnego infekowania internautów. Zestaw specjalnie spreparowanych skryptów, wykorzystujących najnowsze podatności w przeglądarkach i wtyczkach takich jak Flash czy Java, czyha na popularnych stronach, często wstrzyknięty przez systemy reklamowe. To dość popularny scenariusz infekcji. Znacznie rzadziej linki do exploit kitów znajdujemy w poczcie elektronicznej.
Dzisiaj około godziny 16 do skrzynek internautów zaczęła trafiać następująca wiadomość:
Co ciekawe, w naszym przepastnym archiwum znaleźliśmy identyczną wiadomość z 16 września. Wtedy była wysyłana z adresu Aneta <aneta@kowaluk-ksiegowosc.pl> a link wskazywał na domenę eoffice365.pl – pozostałe elementy były identyczne. We wrześniu nie udało się nam uchwycić przebiegu ataku – dzisiaj mieliśmy więcej szczęścia.
Kliknięcie w linka z przeglądarki takiej jak Chrome czy Firefox daje następujący efekt:
Co dzieje się w takim razie gdy wejdziemy na tę witrynę z Internet Explorera? Dużo gorsze rzeczy. Na początku zostajemy przekierowani do witryny
gdzie XXX bywa zmienną wartością. Tam z kolei – jeśli spodobamy się serwerowi – otrzymujemy stronę startową Nuclear Exploit Pack, czyli narzędzia, którego zadaniem jest znalezienie podatności w naszej przeglądarce. Analiza tego, co serwuje Nuclear EK trwa, natomiast już teraz wiadomo, że nie jest to program, który chcecie mieć na swoim komputerze. Prawdopodobnie w celu zainfekowania komputera wykorzystywane są najnowsze błędy we Flashu (stąd też zapewne zachęta do użycia IE – Firefox i Chrome mają domyślnie aktywną blokadę Flasha).
Sama domena ieoffice365.pl została zakupiona dzisiaj a serwer hostowany jest pod adresem IP 188.116.19.127 w firmie Nephax. Doświadczenia z września pokazują, że domena może wkrótce wskazywać na zupełnie inny adres IP.
Kliknąłem, co robić
Jeśli dostaliście taką wiadomość i weszliście na linka z Internet Explorera to proponujemy natychmiast wyjąć kabel sieciowy (lub wyłączyć ruter) i udać się do informatyka, który przeinstaluje system. Wszystko wskazuje, ze kliknięcia z innych przeglądarek nie powodują takich skutków.