Uwaga na nietypowy atak na użytkowników Google Chrome

dodał 18 stycznia 2017 o 21:46 w kategorii Złośniki  z tagami:
Uwaga na nietypowy atak na użytkowników Google Chrome

Przeglądarka Google Chrome należy do najtrudniejszych przeciwników dla przestępców. Domyślnie wyłączone wrażliwe wtyczki, porządny sandbox  i częste aktualizacje wymagają bardziej kreatywnego podejścia – takiego jak w poniższym przykładzie.

Jedną z najpopularniejszych metod ataku na użytkowników jest przejęcie kontroli nad przeglądarką z użyciem błędów w samej przeglądarce lub jej wtyczkach. By zoptymalizować proces hakowania przeglądarek jednym z pierwszych kroków przestępców, którym uda się zainfekować jakąś stronę, jest selekcja interesującego ich ruchu klientów – np. wg kraju pochodzenia, systemu operacyjnego i przeglądarki. Użytkownicy Firefoksa trafią na odpowiednie exploity, użytkownicy starego Internet Explorera na inny zestaw ataków, inny dostaną posiadacze Javy – tylko z użytkownikami Google Chrome ciężko coś wykombinować. Lecz i na ten problem przestępcy znaleźli sposób.

Kafeine, znany badacz ataków na przeglądarki, publikujący na blogu firmy Proofpoint, opisał ciekawy przykład ataku na internautów używających Google Chrome w systemie Windows. Od 10 grudnia użytkownicy mogą natrafić na ekran podobny do tego:

Zamiast tekstu na odwiedzanej stronie pojawiają się „krzaczki” i towarzyszy im komunikat o konieczności pobrania dodatkowej paczki z czcionkami dla Chrome. Oczywiście jest to atak socjotechniczny, zachęcający internautów do instalacji złośliwego oprogramowania – coś w rodzaju albańskiego wirusa, który sam prosił o skopiowanie go na kolejny komputer ponieważ nie potrafił przeprowadzić tej operacji samodzielnie. Trzeba jednak przyznać, że ten scenariusz ataku jest dość oryginalny i niektórych użytkowników może przekonać do infekcji.

Aby zobaczyć powyższy komunikat trzeba:

  • posiadać Chrome i Windows,
  • wyszukać zainfekowaną witrynę w Google (złośliwy kod sprawdza zmienną Referer),
  • surfować z kraju objętego akurat kampanią.

Proces wygląda następująco (po kliknięciu na obrazek zobaczycie animację):

Przestępcy po przejęciu kontroli nad witryną podatną na infekcje (np. niezaktualizowane WordPressy, Joomle itp.) wstrzykują do niej swój złośliwy kod, który psuje tekst dodając do niego ciąg „&#0” powodujący wyświetlanie pytajników w miejscu zwykłych czcionek i udający uszkodzoną witrynę oraz wyświetlający odpowiedni komunikat. Gdy ofiara kliknie guzik „Update”, otrzyma instrukcję jak uruchomić złośliwy kod.

W badanych scenariuszach pobierany kod zajmował się w klikaniem w reklamy w sposób niezauważalny dla zwykłego użytkownika. Według badaczy cała operacja jest fragmentem systemu ElTest, infekującego komputery od kilku lat, prawdopodobnie działającego pod kontrolą rosyjskojęzycznych przestępców (sporo szczegółów na temat jego działania znajdziecie we wpisie Kafeine). Trzeba przyznać, że atakującym fantazji nie brakuje. Ostrzeżcie zatem mniej świadomych znajomych, którzy już wiedzą, że Chrome jest bezpieczny, ale jeszcze nie wiedzą, że czcionek nie trzeba doinstalowywać.