Video: Кибер-криминалистические исследования, инструменты и методы (Septembra 2024)
Ak ste v posledných dňoch navštívili populárnu humorovú webovú stránku Cracked.com, podľa výskumníkov v laboratóriách Barracuda ste pravdepodobne boli zasiahnutí útokom typu drive-by-download. Okamžite naskenujte počítač!
Výskumník objavil 10. novembra, že Cracked.com bol hostiteľom drive-by download, ktorý dodal malware návštevníkom stránok s zraniteľnými systémami, výskumníci Barracuda Networks Daniel Peck a Paul Royal napísali na blogu Barracuda Labs. Zdá sa, že útočníci mohli mať prístup na web už od 4. novembra.
K stiahnutiu z disku dôjde, keď škodlivý kód na webovej stránke zacieľuje zraniteľné miesta v softvéri spustenom v počítači používateľa. Na rozdiel od iných útokov na webe, ktoré vyžadujú, aby užívateľ klikol na odkaz alebo otvoril súbor, môže jednotka riadiť malvér alebo vykonávať príkazy bez zásahu používateľa. Užívateľ je infikovaný iba návštevou stránky.
Správca stránok na webe Cracked.com, ktorý bol uverejnený na užívateľských fórach a ktorý naznačoval, že problém bol vyriešený v utorok večer. „Áno, prestali sme na to dostávať sťažnosti a spoločnosť Google nás stiahla zo zoznamu upozornení na škodlivý softvér alebo čokoľvek, čo ho vyvolalo. Získava ho niekto iný?“
Barracuda's Peck spoločnosti SecurityWatch potvrdil, že web nebol v súčasnosti kompromitovaný, ale uviedol, že po preskúmaní minulých problémov so serverom Cracked.com sa tieto útoky „javia ako opakujúci sa problém“.
Podrobnosti o útoku
V takom prípade by škodlivý kód JavaScript na webe Cracked.com vyžadoval škodlivú stránku z iného webu, ktorý vlastnia útočníci a ktorý sa volá crackedcdm.com. V tomto momente útočná stránka používa „zmes škodlivých súborov PDF, Java a HTML / JavaScript“, aby sa pokúsila ohroziť prehliadač. Po ohrození prehliadača sa malware stiahne a nainštaluje sám. V čase zverejnenia malware zistil podľa VirusTotal 24 zo 47 hlavných dodávateľov antivírusového softvéru.
Jediným náznakom, že používateľ môže niečo urobiť, je upozornenie, že sa spustil doplnok Java a objaví sa správa, že v systéme nie je dostatok pamäte.
Barracuda Labs varuje, že „tisíce návštevníkov“ mohli byť vystavení útoku. Štatistiky zhromaždené Alexa radí Cracked.com ako 289. najobľúbenejšie miesto v Spojených štátoch a 654. miesto na svete.
Peck uviedol, že počiatočné zistenia naznačujú, že útočníci používali techniky a zneužívanie podobné tým, ktoré sa nachádzajú v balíčku jadrových exploitov. Zdá sa, že aj mnohí dodávatelia antivírusových programov detekujú škodlivý softvér ako súčasť botnetu Androm.
Dôveryhodné stránky
Ak ste v posledných 10 dňoch navštívili web Cracked.com, aktualizujte antivírusové podpisy a ihneď naskenujte svoje počítače. Zdá sa, že niektoré z hlavných antivírusových balíkov, vrátane spoločností Kaspersky Lab, F-Secure, Trend Micro, Symantec, McAfee a BitDefender, dnes aktualizovali svoje podpisy, aby zistili tento malware, podľa VirusTotal.
Uistite sa tiež, že ste stále na vrchole aktualizácií populárne zacieleného softvéru, ako je Adobe Reader, Java a webový prehľadávač, pretože tieto stiahnutia z disku závisia od toho, či nemáte k dispozícii softvér. Mnoho webových prehliadačov, napríklad Google Chrome, tiež zobrazuje veľké červené varovné obrazovky o výskyte škodlivého softvéru na webe. Ak dostávate upozornenie na škodlivý softvér zo svojho bezpečnostného softvéru alebo prehliadača, berte ho vážne a nepristupujte na web. Ten vtipný článok sa zachová.
Z pohľadu príspevkov na fóre Cracked.com sa zdá, že sa mnohým ľuďom zobrazilo upozornenie a napriek tomu klikli na tlačidlo „Pokračovať“, aby sa dostali na tieto stránky. Nerob to!
Skutočnosť, že server Cracked.com aktívne neinformuje návštevníkov stránok o týchto udalostiach alebo neposkytuje nápravné kroky na vyčistenie systémov, „naznačuje, že by ste sa mali vyhnúť serveru Cracked.com, ak sa zaujímate o škodlivý softvér“, uzavreli Barracuda Labs v jeho príspevok.
