Tajemnicze wpisy z internetu, czyli skąd bierze się mutex/ocfipreoqyfb/mutex

dodał 28 września 2017 o 22:45 w kategorii Info  z tagami:
Tajemnicze wpisy z internetu, czyli skąd bierze się mutex/ocfipreoqyfb/mutex

Dzisiaj przez polski internet przetoczyła się fala tajemniczych wpisów w różnych popularnych serwisach. Unikatowy ciąg znaków pojawiał się w zupełnie niespodziewanych miejscach. Po wielu godzinach śledztwa wytropiliśmy jego pochodzenie.

Od rana spływały do nas wiadomości od czytelników wskazujące, że w sieci dzieje się coś dziwnego. W wielu miejscach pojawił się tajemniczy ciąg znaków o treści „mutex/ocfipreoqyfb/mutex”. Można go było znaleźć na stronach wielu portali, na forach, w ogłoszeniach Allegro i prywatnych wpisach, najczęściej autorstwa polskich internautów. Co ciekawe, pojawiał się zawsze pod koniec pola tekstowego. Ofiarami incydentu padły serwisy takie jak Pudelek.tv (a także Pudelek.pl):

Cyberdefence24.pl:

czy Eska.pl:

Wyszukiwanie w Google pokazuje, że podobnych wydarzeń były setki, a wszystkie miały miejsce w ciągu ostatnich 24 godzin. Tę zagadkę trzeba było koniecznie rozwiązać.

Krok po kroku

Mimo wnikliwego przyglądania się ofiarom trudno było ustalić źródło incydentu. Czasem wpis pojawiał się w formie tekstowej, czasem w kodzie HTML takim jak np.:

Tekst pojawiał się na końcu pól tekstowych wysyłanych do internetu przez użytkownika. Za atak mogła zatem opowiadać oszalała wtyczka do jednej z przeglądarek. Przełomem okazało się odkrycie wnikliwych kolegów z CERT.PL, którzy natrafili na fragment kodu zawierający następujący ciąg:

Wyszukiwanie ciągu „safe_url_2” doprowadziło naszych Anonimowych Analityków do witryny:

a wyszukiwanie firmy Vondos Media GmbH do strony wtyczki do Firefoksa Browser-Security. Wtyczka ta została wczoraj zaktualizowana, zatem została głównym podejrzanym i celem dalszej analizy.

Feralna wtyczka

Wtyczka Browser-Security okazała się być oprogramowaniem typu adware, czyli wstrzykującym reklamy na strony oglądane przez użytkownika. Ktoś jednak w aktualizacji jej wersji popełnił błąd i wtyczka zaczęła modyfikować pola tekstowe wysyłane na serwer przez przeglądarkę. Na dokładkę błąd był tak przypadkowo dziwny, że wstrzykiwany kod objawiał się właśnie obserwowanymi napisami w artykułach, aukcjach czy wpisach na forach. Fragment kodu wtyczki wygląda następująco:

Skąd złośliwa wtyczka brała się na komputerach ofiar, w tym redaktorów wielu polskich portali? Podejrzewamy, że była instalowana wraz z innym, popularnym w Polsce oprogramowaniem, jeszcze w swojej wersji nie powodującej takich skutków ubocznych. Na razie głównym kandydatem na winowajcę jest K-Lite Codec Pack. Wtyczka przez wiele miesięcy „niewinnie” wyświetlała swoje reklamy, by wczoraj zostać zaktualizowana i namieszać w sieci.

Ofiarom infekcji proponujemy usunięcie feralnej wtyczki i większą uwagę w trakcie instalowania darmowego oprogramowania. A sami musimy przyznać, że było to jedno z ciekawszych śledztw w historii naszego serwisu.