Tajemnicze wpisy z internetu, czyli skąd bierze się mutex/ocfipreoqyfb/mutex

dodał 28 września 2017 o 22:45 w kategorii Info  z tagami:
Tajemnicze wpisy z internetu, czyli skąd bierze się mutex/ocfipreoqyfb/mutex

Dzisiaj przez polski internet przetoczyła się fala tajemniczych wpisów w różnych popularnych serwisach. Unikatowy ciąg znaków pojawiał się w zupełnie niespodziewanych miejscach. Po wielu godzinach śledztwa wytropiliśmy jego pochodzenie.

Od rana spływały do nas wiadomości od czytelników wskazujące, że w sieci dzieje się coś dziwnego. W wielu miejscach pojawił się tajemniczy ciąg znaków o treści „mutex/ocfipreoqyfb/mutex”. Można go było znaleźć na stronach wielu portali, na forach, w ogłoszeniach Allegro i prywatnych wpisach, najczęściej autorstwa polskich internautów. Co ciekawe, pojawiał się zawsze pod koniec pola tekstowego. Ofiarami incydentu padły serwisy takie jak Pudelek.tv (a także Pudelek.pl):

Cyberdefence24.pl:

czy Eska.pl:

Wyszukiwanie w Google pokazuje, że podobnych wydarzeń były setki, a wszystkie miały miejsce w ciągu ostatnich 24 godzin. Tę zagadkę trzeba było koniecznie rozwiązać.

Krok po kroku

Mimo wnikliwego przyglądania się ofiarom trudno było ustalić źródło incydentu. Czasem wpis pojawiał się w formie tekstowej, czasem w kodzie HTML takim jak np.:

<div id="jsseunrwnoeo" style="display: none;">
<div class="simple_mutex" id="ocfipreoqyfb" style="display: none;">mutex/ocfipreoqyfb/mutex</div>
</div>

Tekst pojawiał się na końcu pól tekstowych wysyłanych do internetu przez użytkownika. Za atak mogła zatem opowiadać oszalała wtyczka do jednej z przeglądarek. Przełomem okazało się odkrycie wnikliwych kolegów z CERT.PL, którzy natrafili na fragment kodu zawierający następujący ciąg:

<div class="simple_mutex" id="ocfipreoqyfb" origin="safe_url_2" style="display: none;">

Wyszukiwanie ciągu „safe_url_2” doprowadziło naszych Anonimowych Analityków do witryny:

https://www.reasoncoresecurity.com/safe_url_2.exe-8dfd006db611eadbc01244741fa99ab3a25878eb.aspx

a wyszukiwanie firmy Vondos Media GmbH do strony wtyczki do Firefoksa Browser-Security. Wtyczka ta została wczoraj zaktualizowana, zatem została głównym podejrzanym i celem dalszej analizy.

Feralna wtyczka

Wtyczka Browser-Security okazała się być oprogramowaniem typu adware, czyli wstrzykującym reklamy na strony oglądane przez użytkownika. Ktoś jednak w aktualizacji jej wersji popełnił błąd i wtyczka zaczęła modyfikować pola tekstowe wysyłane na serwer przez przeglądarkę. Na dokładkę błąd był tak przypadkowo dziwny, że wstrzykiwany kod objawiał się właśnie obserwowanymi napisami w artykułach, aukcjach czy wpisach na forach. Fragment kodu wtyczki wygląda następująco:

var checkContent = 'mutex'+'/'+key+'/'+'mutex';
 docMutexDiv.textContent = checkContent;
 docMutexDiv.setAttribute('origin', localVars.appName);
 docMutexDiv.style.display = 'none';
 mWrapper.appendChild(docMutexDiv);

Skąd złośliwa wtyczka brała się na komputerach ofiar, w tym redaktorów wielu polskich portali? Podejrzewamy, że była instalowana wraz z innym, popularnym w Polsce oprogramowaniem, jeszcze w swojej wersji nie powodującej takich skutków ubocznych. Na razie głównym kandydatem na winowajcę jest K-Lite Codec Pack. Wtyczka przez wiele miesięcy „niewinnie” wyświetlała swoje reklamy, by wczoraj zostać zaktualizowana i namieszać w sieci.

Ofiarom infekcji proponujemy usunięcie feralnej wtyczki i większą uwagę w trakcie instalowania darmowego oprogramowania. A sami musimy przyznać, że było to jedno z ciekawszych śledztw w historii naszego serwisu.