Uwaga na bardzo niebezpieczny i nietypowy atak na internautów

dodał 3 listopada 2015 o 23:43 w kategorii Złośniki  z tagami:
Uwaga na bardzo niebezpieczny i nietypowy atak na internautów

Polscy internauci powoli uczą się już, by nie otwierać niezaufanych załączników z poczty elektronicznej lub plików pobieranych z internetu. Co jednak, gdy okazuje się, że niebezpieczne jest już samo załadowanie złośliwej witryny?

W nasze ręce trafił nietypowy przykład ataku. Wystarczy, by użytkownik, który otrzymał wiadomość, załadował stronę w odpowiedniej przeglądarce by jego komputer został zainfekowany złośliwym oprogramowaniem. To rzadko spotykany w naszym kraju scenariusz.

Exploit kity ukochanym narzędziem przestępców

Od kilku lat przestępcy z lubością korzystają z nowego narzędzia do pasywnego infekowania internautów. Zestaw specjalnie spreparowanych skryptów, wykorzystujących najnowsze podatności w przeglądarkach i wtyczkach takich jak Flash czy Java, czyha na popularnych stronach, często wstrzyknięty przez systemy reklamowe. To dość popularny scenariusz infekcji. Znacznie rzadziej linki do exploit kitów znajdujemy w poczcie elektronicznej.

Dzisiaj około godziny 16 do skrzynek internautów zaczęła trafiać następująca wiadomość:

fałszywa wiadomość

fałszywa wiadomość

Od: Aneta Kowaluk <[email protected]>

Temat: Błędna wpłata

Dzień dobry, kilka dni temu otrzymałam przelew na kwotę kilkuset złotych, problem w tym, że wpisano błędnego odbiorcę oraz ja tych pieniędzy nie oczekiwałam, więc wydaje mi się, że mój numer konta został podany omyłkowo. W banku otrzymałam ten adres email jako należący do właściciela. Proszę o sprawdzenie potwierdzenia przelewu czy to Państwa rachunek, udostępniam do wglądu w mojej chmurze: http://ieoffice365.pl/documents/word/potwierdzenie-przelewu. Jeżeli tak, to oczekuję na informację czy był on kierowany do mnie, najlepiej gdybym mogła prosić o numer telefonu w celu sprawniejszego kontaktu.

Pozdrawiam,
Aneta Kowaluk

Co ciekawe, w naszym przepastnym archiwum znaleźliśmy identyczną wiadomość z 16 września. Wtedy była wysyłana z adresu Aneta <[email protected]> a link wskazywał na domenę eoffice365.pl – pozostałe elementy były identyczne. We wrześniu nie udało się nam uchwycić przebiegu ataku – dzisiaj mieliśmy więcej szczęścia.

Kliknięcie w linka z przeglądarki takiej jak Chrome czy Firefox daje następujący efekt:

Komunikat ze strony

Komunikat ze strony

Co dzieje się w takim razie gdy wejdziemy na tę witrynę z Internet Explorera? Dużo gorsze rzeczy. Na początku zostajemy przekierowani do witryny

http://mmadcyorfd.info/forum/index.php?showtopic=XXX

gdzie XXX bywa zmienną wartością. Tam z kolei – jeśli spodobamy się serwerowi – otrzymujemy stronę startową Nuclear Exploit Pack, czyli narzędzia, którego zadaniem jest znalezienie podatności w naszej przeglądarce. Analiza tego, co serwuje Nuclear EK trwa, natomiast już teraz wiadomo, że nie jest to program, który chcecie mieć na swoim komputerze. Prawdopodobnie w celu zainfekowania komputera wykorzystywane są najnowsze błędy we Flashu (stąd też  zapewne zachęta do użycia IE – Firefox i Chrome mają domyślnie aktywną blokadę Flasha).

Sama domena ieoffice365.pl została zakupiona dzisiaj a serwer hostowany jest pod adresem IP 188.116.19.127 w firmie Nephax. Doświadczenia z września pokazują, że domena może wkrótce wskazywać na zupełnie inny adres IP.

Kliknąłem, co robić

Jeśli dostaliście taką wiadomość i weszliście na linka z Internet Explorera to proponujemy natychmiast wyjąć kabel sieciowy (lub wyłączyć ruter) i udać się do informatyka, który przeinstaluje system. Wszystko wskazuje, ze kliknięcia z innych przeglądarek nie powodują takich skutków.

Dziękujemy osobom które nadesłały złośliwe wiadomości oraz tym, którzy pomogli w analizie działania kodu.