Badacze z zespołu Palo Alto Networks opisali najnowszą kampanię niebezpiecznego Angler Exploit Kitu. Przestępcy infekują za jego pomocą komputery użytkowników, którzy nie zadbali o posiadanie bezpiecznych przeglądarek i aktualnych wtyczek. Kluczowym elementem łańcucha infekcji są zwyczajne strony WWW przejęte i kontrolowane przez przestępców, w których zamieszczane są pułapki na odwiedzających. Badacze zidentyfikowali ponad 90 tysięcy zainfekowanych stron WWW, z których 2264 zlokalizowane są w domenie PL.
Polska na pierwszym miejscu wśród domen narodowych
Analiza wykazała także, że przestępcy często przejmują kontrolę nad wszystkimi domenami znajdującymi się na danym adresie IP – te 90 tysięcy domen hostowanych jest na ok. 30 tysiącach unikatowych adresów IP. Wśród najpopularniejszych firm hostingowych na liście znalazły się Home.pl oraz Nazwa.pl. Niestety nie wiemy, dlaczego akurat Polska znalazła się tak wysoko na celowniku przestępców – być może są zainteresowani infekowaniem użytkowników właśnie w naszym kraju. Prawdopodobnym wektorem infekcji są błędy w WordPressie lub jego wtyczkach.
Polecamy lekturę całej obszernej analizy i dziękujemy Arturowi za podesłanie linka. Dla zainteresowanych link do pełnej listy zainfekowanych domen oraz listy ograniczonej do domen PL.
Komentarze
Dlatego piszę w czystym html i w notatniku
Dlatego ja piszę na maszynie i myślami w głowie.
Dlatego ja nie piszę, wszystko pamiętam.
Dlatego ja staram się nawet nie pamiętać
Pisanie pisaniem, ale co potem, jak to opublikować? Ja używam metody zwierania pinów na karcie sieciowej.
Ostatni raport Checkpoint-a http://www.checkpoint.com/resources/downloads/CheckPoint-2015-SecurityReport.pdf
też wskazuje wyraźne zainteresowanie naszym krajem jako wygodnym hostingiem dla celów przestępców. Polecam stronę 16 raportu. Zajęliśmy 5 miejsce na świecie. Cały raport warto przejrzeć na spokojnie i mimo tytułu dotyczy on roku 2014. Może warto zapytać Cert.pl i same hostingi jakie są ich dane na ten temat?
Jak to dlaczego Polska? Przecież infekują automaty, a w Polsce, polskie firmy są zarządzane po polsku, czyli: taniość, taniość i jeszcze raz taniość. A z tego wynika „byle jakość”, w której mnóstwo nie uaktualnianych systemów aż się prosi o przejęcie.
Hm… po ciężkich bojach z wieloma stronami, doszedłem do wniosku, ze to atak od wewnątrz i podejrzana jest jedna z wtyczek, bo tylko jedna strona na kilkanaście podobnych z tego samego hostingu (to samo IP), nie padła, bo nie miała wtyczki antywirusowej Wordfence Security – ma ktoś może podobne obserwacje?? Będą to weryfikował od jutra, ale podejrzenie jest silne i ilość wtyczek zainstalowanych podobna do ilości zaatakowanych stron … :(