03.11.2015 | 23:43

Adam Haertle

Uwaga na bardzo niebezpieczny i nietypowy atak na internautów

Polscy internauci powoli uczą się już, by nie otwierać niezaufanych załączników z poczty elektronicznej lub plików pobieranych z internetu. Co jednak, gdy okazuje się, że niebezpieczne jest już samo załadowanie złośliwej witryny?

W nasze ręce trafił nietypowy przykład ataku. Wystarczy, by użytkownik, który otrzymał wiadomość, załadował stronę w odpowiedniej przeglądarce by jego komputer został zainfekowany złośliwym oprogramowaniem. To rzadko spotykany w naszym kraju scenariusz.

Exploit kity ukochanym narzędziem przestępców

Od kilku lat przestępcy z lubością korzystają z nowego narzędzia do pasywnego infekowania internautów. Zestaw specjalnie spreparowanych skryptów, wykorzystujących najnowsze podatności w przeglądarkach i wtyczkach takich jak Flash czy Java, czyha na popularnych stronach, często wstrzyknięty przez systemy reklamowe. To dość popularny scenariusz infekcji. Znacznie rzadziej linki do exploit kitów znajdujemy w poczcie elektronicznej.

Dzisiaj około godziny 16 do skrzynek internautów zaczęła trafiać następująca wiadomość:

fałszywa wiadomość

fałszywa wiadomość

Od: Aneta Kowaluk <[email protected]>

Temat: Błędna wpłata

Dzień dobry, kilka dni temu otrzymałam przelew na kwotę kilkuset złotych, problem w tym, że wpisano błędnego odbiorcę oraz ja tych pieniędzy nie oczekiwałam, więc wydaje mi się, że mój numer konta został podany omyłkowo. W banku otrzymałam ten adres email jako należący do właściciela. Proszę o sprawdzenie potwierdzenia przelewu czy to Państwa rachunek, udostępniam do wglądu w mojej chmurze: http://ieoffice365.pl/documents/word/potwierdzenie-przelewu. Jeżeli tak, to oczekuję na informację czy był on kierowany do mnie, najlepiej gdybym mogła prosić o numer telefonu w celu sprawniejszego kontaktu.

Pozdrawiam,
Aneta Kowaluk

Co ciekawe, w naszym przepastnym archiwum znaleźliśmy identyczną wiadomość z 16 września. Wtedy była wysyłana z adresu Aneta <[email protected]> a link wskazywał na domenę eoffice365.pl – pozostałe elementy były identyczne. We wrześniu nie udało się nam uchwycić przebiegu ataku – dzisiaj mieliśmy więcej szczęścia.

Kliknięcie w linka z przeglądarki takiej jak Chrome czy Firefox daje następujący efekt:

Komunikat ze strony

Komunikat ze strony

Co dzieje się w takim razie gdy wejdziemy na tę witrynę z Internet Explorera? Dużo gorsze rzeczy. Na początku zostajemy przekierowani do witryny

http://mmadcyorfd.info/forum/index.php?showtopic=XXX

gdzie XXX bywa zmienną wartością. Tam z kolei – jeśli spodobamy się serwerowi – otrzymujemy stronę startową Nuclear Exploit Pack, czyli narzędzia, którego zadaniem jest znalezienie podatności w naszej przeglądarce. Analiza tego, co serwuje Nuclear EK trwa, natomiast już teraz wiadomo, że nie jest to program, który chcecie mieć na swoim komputerze. Prawdopodobnie w celu zainfekowania komputera wykorzystywane są najnowsze błędy we Flashu (stąd też  zapewne zachęta do użycia IE – Firefox i Chrome mają domyślnie aktywną blokadę Flasha).

Sama domena ieoffice365.pl została zakupiona dzisiaj a serwer hostowany jest pod adresem IP 188.116.19.127 w firmie Nephax. Doświadczenia z września pokazują, że domena może wkrótce wskazywać na zupełnie inny adres IP.

Kliknąłem, co robić

Jeśli dostaliście taką wiadomość i weszliście na linka z Internet Explorera to proponujemy natychmiast wyjąć kabel sieciowy (lub wyłączyć ruter) i udać się do informatyka, który przeinstaluje system. Wszystko wskazuje, ze kliknięcia z innych przeglądarek nie powodują takich skutków.

Dziękujemy osobom które nadesłały złośliwe wiadomości oraz tym, którzy pomogli w analizie działania kodu.

Powrót

Komentarze

  • 2015.11.04 00:15 gustlik

    od razu przeinstalować? nie da się posprzątać?

    Odpowiedz
    • 2015.11.04 06:43 Adam

      A co konkretnie będziesz sprzątać? Skąd wiesz co przychodzi i co sobie dociąga? Możesz próbować, oczywiście, ale jaką masz gwarancję że się uda? Ja bym nie ryzykował.

      Odpowiedz
      • 2015.11.04 17:08 Zibi

        To mnie zawsze rozwalało, jak informatyk naprawiał komputer robiąc format na dzień dobry :D
        Uważam takich informatyków za pseudo informatyków, takich którzy zrobili sobie papierek informatyka by mieć coś takiego w kolekcji. Ja jako informatyk pierwszy raz robiłem formatowanie dysku w szkole, bo takie zadanie mieliśmy i była to dla mnie nowość. Poza tym chyba by mi spokoju nie dała świadomość o tym co się działo nie tak w systemie i dlaczego. Nie mówiąc już o największej chyba frajdzie informatyka z zamiłowania, którą jest rozwiązanie tych problemów, poznanie ich przyczyn, usunięcie wirusów, czy też ich unieszkodliwienie :)

        Odpowiedz
        • 2015.11.04 23:26 drZu0

          Ja piersze formatowanie dysku robiłem z dosa na 386, xx lat temu.

          Odpowiedz
          • 2015.11.20 12:37 ruter

            i do tej pory działa na twoim komputerku 386 windows 2020 bez żadnej ponownej instalacji. Sam sie aktualizauje i hula jak mój pies po dziecęcej piaskownicy :)

        • 2015.11.05 00:22 Piotr

          @Zibi A co jeśli ktoś nie ma 2 tygodni czasu na zabawę w detektywa i potrzebuje pilnie komputer do pracy? Czy nie lepiej zrobić kopię takiego dysku i postawić na nowo system, a potem analizować, poznawać przyczynę, usunąć wirusy, czy też je unieszkodliwiać?
          Klienta nie obchodzi co to było?! On chce mieć działający komputer! I najlepiej żeby było wszystko tak, jak sprzed awarii.

          Odpowiedz
        • 2015.11.05 00:30 JK

          No i właśnie tacy Zibi zostają ofiarami podobnych ataków.
          Może sobie poklikiasz w podane linki i przedstawisz analizę zagrożenia?

          Odpowiedz
        • 2015.11.07 18:29 Kacper

          Mając pod sobą ~ 100 końcówek z użyszkodnikami, żaden informatyk nie będzie się bawił w detektywa. Dane z backupu robionego w czasie rzeczywistym są więc po co grzebać się z naprawianiem systemu i analizą zagrożenia? netboot, reinstall, reboot pociągnięcie ustawień itd. z AD i user za 30 minut pracuje na swoim komputerze jak by nigdy nic się nie stało… Znam to z doświadczenia, w pewnym momencie trzeba sobie pracę ułatwiać bo jak nie to Cię robota przygniecie.

          Odpowiedz
        • 2015.11.07 18:47 Michał

          Co ty gadasz? Kto ci sie będzie bawił w szukanie infekcji i innych problemów?
          Backup najważniejszych danych, format i po sprawie. Całość ok 2-3h a nie 2-3 dni…

          Odpowiedz
        • 2015.11.28 00:59 Jontek

          A co jeśli atak polega na dynamicznym wgraniu kodu, którego ni jak nie wykryjesz, bo po restarcie znika? Na kompie zostaje najwyżej tylko loader zaszyfrowany pod nic nie znaczącąnazwą lub wkompilowany w kod innego pliku, który jeśli nie skontaktuje się z serwerem sam siękasuje. Podobnie działają nowoczesne cheaty, żaden system antychiterski ich nie wykrywa. A co jeśli atak następuje poprzez flascha na innych stronach dajmy na to xxx, które odwiedzasz w wiadomych celach? Zdziwił byś się gdzie jeszcze łapiesz tymczasowe konie trojańskie.

          Odpowiedz
    • 2015.11.04 08:40 Ninja

      Zawieje melancholijną zgrozą: użyj Combofixa.

      ;)

      Odpowiedz
      • 2015.11.05 12:44 Mieszko

        Nie sugeruj combofix’a. To jest narzędzie dla doświadczonych osób a nie dla nowicjuszy. W rękach amatora więcej szkód niż pożytku.

        Odpowiedz
    • 2015.11.19 19:18 echo

      Napisz sobie remówToola :D

      Odpowiedz
  • 2015.11.04 01:09 rootger

    „Jeśli dostaliście taką wiadomość i weszliście na linka z Internet Explorera to proponujemy natychmiast wyjąć kabel sieciowy (lub wyłączyć ruter) i udać się do informatyka”
    Bez przesady ;v

    Odpowiedz
    • 2015.11.04 08:52 Paweł

      Mamy tutaj odpowiedź dlaczego tego typu syf jest wciąż tak efektywny, a do skutecznego ataku wcale nie potrzeba łba 6 na 9 – większość podejdzie do oczywistego zagrożenia właśnie z pozycji „bez przesady, nic mi nie będzie”.

      A nie tak dawno w komentarzach szydziliście z kancelarii prawnych które dały się podejść jak dzieci. Jestem pewny, że sprofilowany atak na ludzi z branży IT, czyli przygotowany pod nasze typowe zachowania miałby podobną skuteczność.

      Rutyna zabija w każdym zawodzie.

      Odpowiedz
  • 2015.11.04 01:32 NN

    ClamAV (do pliku customsig.ndb):
    ExploitPack.url.Nuclear.20150916:4:*:3a2f2f656f66666963653336352e706c2f
    ExploitPack.url.Nuclear.20151003:4:*:3a2f2f69656f66666963653336352e706c2f

    Odpowiedz
  • 2015.11.04 02:12 Sopel

    „serwer hostowany jest pod adresem IP 188.116.19.127 w firmie Nephax” – 188.116.19.x i 188.116.20.x to pula przeznaczona dla serwerów VPS i wirtualnych hostingów w hekko.pl (w serwerowni Nephax) – wiem, bo sam mam dużo ich usług i od razu rzuciło mi się to w oczy :)

    Odpowiedz
  • 2015.11.04 08:42 rafik_

    od razu widac oblatanie w temacie sprawcy. hehehe. dawno mnie nic z rana tak nie rozbawilo :) odpalilem to w piaskownicy. duzo info o sobie tam ten matolek zostawil. rychlego zlapania ;)

    Odpowiedz
    • 2015.11.04 23:11 hmm

      Piaskownica? Hmm, musisz być hakerem :D, ale cryptery już dawno z piaskownicy wyjdą muszę cię zasmucić :D

      Odpowiedz
  • 2015.11.04 10:50 echo

    Które najnowsze ? Ostatnio z tego co wiem w nek były exploity z hacked-teamu + jakiś bypass nowych mitygacji aplikacyjnych. Ogólnie flash jest tak dziurawy że człowiekowi trudno za tym wszystkim nadążyć, chyba szybciej wychodzą podatności niż wersje (podatność na wersje 20 już jest ale wersji 20 jeszcze nie ma :D)

    Odpowiedz
  • 2015.11.04 12:22 hmmm

    Ja juz nawet zapomnialem, ze cos takiego jak flash mialem kiedys na komputerze :)

    Odpowiedz
  • 2015.11.04 15:47 AdNet

    „Kliknąłem, co robić…” OMFG! Fidlera trzeba by zapuscic albo Burpa, Wiresharka i obserwowac… a wy od razu 're-install’

    Odpowiedz
    • 2015.11.04 15:57 Adam

      Obserwuj np. jak Twoje hasła opuszczają komputer zaszyfrowanym kanałem albo jak szyfrują Ci się pliki na dysku :)

      Odpowiedz
  • 2015.11.04 15:58 D

    A co z linuxami? Też trzeba przeinstalowywac?

    Odpowiedz
    • 2015.11.04 16:00 Adam

      Czytałeś artykuł? „Jeśli dostaliście taką wiadomość i weszliście na linka z Internet Explorera”

      Odpowiedz
      • 2015.11.04 17:15 Therminus

        Na Linuksie też jest to możliwe.

        Odpowiedz
  • 2015.11.04 17:17 Korsarz

    A jak w Edge, bo nie wiem na ile jest pochodną IE?

    Odpowiedz
  • 2015.11.04 18:26 adrian

    Na wstępie zaznaczę, że jestem laikiem. Chciałbym przeinstalować system, ale nie chcę stracić ważnych danych. Mam dwa pytania:

    1. Czy może tak się stać, że uruchomię znany mi plik na przeinstalowanym systemie i wtedy znowu zainfekuję komputer (coś doczepionego do znanego mi pliku, który znajdował się wcześniej na zainfekowanym systemie)?
    2. Jeśli tak to czy antywirusy np. Kaspersky czy Dr.WEB CureIt! podczas skanowania wykryją, że do „czystego” pliku jest coś doczepione?

    Odpowiedz
    • 2015.11.05 15:19 adrian

      Mogę odpalić OpenBSD z pendriva. Przenieść ważne pliki (nie mam tego dużo) na innego pendriva. Chcę tylko wiedzieć czy to bezpieczne. Gość nie doczytał artykułu, pyta o linuxa- dostał dwie odpowiedzi. Mi oczywiście nikt nie odpowie.

      Odpowiedz
      • 2015.11.05 18:06 Jacek

        1. Wszystko jest możliwe. Plików z dokumentami itp raczej nikt nie zarazi. Jeśli przenosisz pliki wykonywalne go owszem łatwo takie „zarazić”, ale pewnie nikomu się nie chce takich exploitów pisać.
        2. Jeśli przeskanujesz pliki antywirusem (antiwirusami) to owszem: prawodopodobieństwo tego, że ktoś coś doczepił do pliku będzie niższe.

        Odpowiedz
  • 2015.11.04 22:32 Stasiek

    „to proponujemy natychmiast wyjąć kabel sieciowy (lub wyłączyć ruter) i udać się do..”
    Mam nadzieję, że to dowcip.
    Jak nie to z3s kolejnym portalem dla przedszkoli.

    Odpowiedz
    • 2015.11.04 22:47 Adam

      Serio czy trollujesz? Jeśli zalecisz komuś samodzielną analizę problemu to co powiesz na cryptolockera, który po kwadransie zaszyfruje już najważniejsze pliki? Albo na rootkit, który może pokaże się w różnych wykrywaczach, a może nie? Albo utratę haseł zapisanych w przeglądarce w ciągu pierwszych sekund infekcji? Skąd wiesz co jest w payloadzie?

      Odpowiedz
      • 2015.11.05 00:26 Piotr

        Brawo Ty.

        Odpowiedz
      • 2015.11.06 09:16 kaczy

        Dobrze gada polać mu!

        Odpowiedz
  • 2015.11.05 07:35 Bolo

    Bardzo dobry art i zgadzam sie z zaleceniamu w 100% jako defender Ze sporym stazem. Nikt z was krytykow z3s nie widzi jednej rzeczy. Na etapie killchain ktory porusza ten art nie wiecie co sie sciagnie a wykjecie kabla przerwie lancuch to po pierwsze a po drugie zanim krytyka to sugeruje dowiedziec sie o czym dyskutujemy. Wiegc spece do cZytania ahttps://blogs.sophos.com/2015/07/21/a-closer-look-at-the-angler-exploit-kit/

    Odpowiedz
  • 2015.11.05 12:42 iruss

    „W banku otrzymałam ten adres email jako należący do właściciela.”

    :-D

    Na to chyba nikt się nie nabierze.

    Odpowiedz
  • 2015.11.05 12:44 Mieszko

    Adamie, z taką sugestią jak udać się do informatyka w celu reinstalacji czyli popularnego tzw. „formata” ? Takie stwierdzenie choć nie nadmiernie przykre to sprawia pewien podskórny ból. Umówmy się że „format” to po prostu kapitulacja. Rozumiem jak by to był art na Wirtualnej Polsce czy forum Komputer Świata. Ale tu? Gdzie zawsze poziom merytoryczny Twoich artów jest bardzo wysoki. Twojego bloga/strony nie czytają przypadkowi nowicjusze komputerowi tylko raczej osoby bardziej zaawansowane (chociaż czytając komentarze można mieć spore wątpliwości). Zgadzam się, że nie wiadomo jakie cholerstwo się mogło przypałętać w najgorszym wypadku nawet szyfrator, Więc trzeba działać szybko ( i w takim wyjątku wsugestia z informatykiem czy serwisem ma sens bo zrobią kopię dysku czy zgrają na nośnik prywatne pliki a reszta do wyczyszczenia). Zablokowanie komunikacji to dobra rada. Co ja bym polecił w takiej sytuacji? Spróbować walczyć samodzielnie rzecz jasna. Skanowanie różnymi narzędziami typu Mbam, Hitman, gmer (ma opcję zabicia wszystkich procesów poza kilkoma systemowymi niezbędnymi do działania windowsa) itd. I oczywiście analiza logów. Jeśli bym nic nie wyczytał z logów to zwrócił bym się do speców. O jakie logo chodzi? –> http://www.fixitpc.pl/forum-6/announcement-3-wa%C5%BCne-zak%C5%82adanie-tematu-obowi%C4%85zkowe-logi/
    Przy okazji ktoś się orientuje czy popularny Sandboxie (IE uruchomiony w Sandboxie) uratował by system przed zagrożeniem?

    Odpowiedz
  • 2015.11.06 07:13 Bolo

    http://forums.sandboxie.com/phpBB3/viewtopic.php?t=12029
    http://www.sandboxie.com/index.php?FAQ_Virus

    To jak bunkier dla ie kiedys ktos walnie czyms kierunkowym i zginie zaloga bunkra, nie zmienia to faktu ze w duZej wiekszosci przypadkow mozesz spac spokojnie.

    To kwestia analiZy ryzyka.

    Odpowiedz
  • 2015.11.07 11:43 drawer

    Wydaje mi sie ze tworcy tego systemu nie sa z polski, wiekszosc polakow jakby dostala kase na swoje konto z niewiadomego pochodzenia siedzialaby cicho i czekala czy ktos upomni sie o swoje „a noz” nikt sie nie zglosi i kasa nasza :) Raczej malo prawdopodobne ze ktos sie odrazu zglasza do banku ze mu zly przelew wykonano… I to juz na wstepie powinno budzic watpliwosc tresci maila :P

    Odpowiedz
  • 2015.11.07 17:48 PanGrzybek

    E-mail [email protected] mozna zarejestrowac :D Screen: http://imgur.com/CI4EyGe

    Odpowiedz
  • 2015.11.07 18:05 Kaska

    Ja tez kliknąłem w dodatku podałam nr telefonu czy to może być groźne?

    Odpowiedz
  • 2015.11.07 18:07 Kaska

    Ja kliknąłem i w dodatku podałam swój nr telefonu czy to może być groźne?

    Odpowiedz
  • 2015.11.09 16:56 Gwiazda Internetu

    Mi wczoraj przyszło takie dziadostwo, ale nie otwierałam ;) Wiadomości dot. pieniędzy zawsze kasuję (oprócz tych z Allegro), bo nie robię nigdy żadnych wpłat/wypłat itd. przez Internet. Nice try.

    Odpowiedz
  • 2015.11.10 15:18 Mariusz

    Biedni Ci użytkownicy Windowsów wszędzie coś na nich czyha.

    No teraz wychodzi jak to wszyscy kochają dżawę o flash nie wspomnę i na każdej stronie nadziubane tego od groma wi,ec jak ma być bezpiecznie?

    Odpowiedz

Zostaw odpowiedź do NN

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Uwaga na bardzo niebezpieczny i nietypowy atak na internautów

Komentarze