18.02.2015 | 20:25

Adam Haertle

Wchodziliście na RedTube ze starym Flashem? Przeskanujcie komputer

RedTube, jeden z najpopularniejszych serwisów internetowych oferujący filmy pornograficzne padł ofiarą włamywaczy. W ostatnich dniach każdy, kto do niego zajrzał, mógł zostać zainfekowany koniem trojańskim.

Firma Malwarebytes nie ma dzisiaj dobrych wiadomości dla miłośników internetowego porno. Mekka internautów szukających w sieci przysłowiowych gołych bab została skutecznie zaatakowana przez włamywaczy, którzy umieścili na jej stronie złośliwy kod infekujący posiadaczy nieaktualnych wtyczek w przeglądarkach.

Serwery RedTube ofiarą włamywaczy

Z reguły w przypadku ataków na duże serwisy internetowe najczęściej mamy do czynienia z przełamywaniem zabezpieczeń zewnętrznych sieci reklamowych (tak było w przypadku xHamstera, Elektrody czy Skąpca) . Nie da się ukryć, że jest to potencjalnie łatwiejszy cel dla włamywaczy, a dzięki osadzaniu dziesiątek reklam na stronach docelowych stanowi skuteczną metodę dostarczenia złośliwego kodu do przeglądarki użytkownika. Tym razem jednak scenariusz wydarzeń był inny – kod infekujący komputery umieszczony był bezpośrednio na serwerze RedTube.

Fragment złośliwego kodu

Fragment złośliwego kodu

Każda strona serwisu zawierała fragment wczytujący JavaScript, który z kolei ładował element IFRAME, przekierowujący przeglądarkę użytkownika do Angler Exploit Kit. To wyrafinowany zestaw skryptów próbujących infekować każdą przeglądarkę przez wykorzystanie najnowszych błędów w najpopularniejszych wtyczkach. AEK już wiele dni temu wyposażony był w najnowsze exploity na błędy we Flashu i z dużą skutecznością atakował komputery nieświadomych internautów.

Zadaniem, które przestępcy wyznaczyli dla Angler Exploit Kitu było zainstalowanie na komputerze ofiary konia trojańskiego Kazy. Inny badacz zaobserwował z kolei instalację oprogramowania wymuszającego okup od internautów. Jest całkiem prawdopodobne, że przestępca, który dysponował dostępem do witryny RedTube sprzedawał pochodzący z niej ruch różnym klientom zatem różne mogły również być rodzaje końcowej infekcji.

Według Malwarebytes do infekcji na pewno dochodziło 15 lutego – potwierdzają to także inne źródła. Początkowa wersja artykułu Malwarebytes twierdziła, że złośliwy kod nadal znajduje się w witrynie, jednak RedTube oznajmił na Twitterze, że co prawda padł ofiarą włamania 15 lutego, ale  jego skutki usunął w ciągu kilku godzin. Ciekawe, czy atakujący celowo wybrali dzień po Walentynkach…

Ktoś mógł zajrzeć z mojego komputera, co robić?

Jeśli znajdujecie się w sytuacji w której podejrzewacie że ktoś mógł 15 lutego odwiedzać witrynę RedTube z użyciem Waszego komputera a nie macie absolutnej pewności, że wszystkie wtyczki w przeglądarce były świeżo zaktualizowane, bo jest szansa, że komputer może być zainfekowany. Co gorsza złośliwe oprogramowanie niekoniecznie musi być wykrywane przez antywirusy – pliki mogą być aktualizowane częściej niż sygnatury programu antywirusowego. Osobom mocno podejrzliwym rekomendujemy odłączenie komputera od sieci na 48h (by powstrzymać aktualizację złośliwego oprogramowania), pobranie na innej maszynie najnowszych sygnatur dla antywirusa i sprawdzenie dysku bez podłączania komputera do internetu. Mniej podejrzliwym rekomendujemy pełny skan komputera w momencie jego uruchamiania. A wszystkim zalecamy włączenie automatycznych aktualizacji gdzie tylko to możliwe oraz aktywowanie funkcji „click to play” dla wszystkich wtyczek.

Powrót

Komentarze

  • 2015.02.18 20:41 Moro

    Jak ktoś używa firewalla to jest bezpieczny czy ten trojan potrafi ominąć firewall ?

    Odpowiedz
    • 2015.02.18 20:57 DedykowanyMozeJeszcze

      lepiej po prostu znaleźć sobie dziewczynę!

      Odpowiedz
      • 2015.02.18 22:06 pomocny

        Dziewczyny wszystkie dzisiaj używają firewalla:)

        Odpowiedz
    • 2015.02.18 21:31 czesław

      dzisiaj wszyscy używają firewalla. Zapora nie ma tu nic do rzeczy, kod ładowany jak każda strona www.

      Odpowiedz
      • 2015.02.19 20:08 Moro

        zainstalować owszem ale czy potrafi potem ominąć firewall żeby połączyć się ze swoim serwerem ?

        Odpowiedz
        • 2015.02.23 04:19 Ja

          Nie – nie potrafi obejść firewalla. Hakerzy na całym świecie kombinują jak to zrobić i jeszcze nie rozgryźli. oh wait…

          Odpowiedz
  • 2015.02.18 20:48 Aed

    Na szczęście nie mam zainstalowanego Flasha w Firefoxie..

    Odpowiedz
    • 2015.02.18 21:07 AOB

      rozumiem, że kolega woli stare dobre fotki z gołymi babami… przyznaję, że ma to swój urok

      Odpowiedz
  • 2015.02.18 20:57 DedykowanyMozeJeszcze

    Wszystko fajnie, ale jakie to przysłowie z „gołymi babami”? Proszę nie powielać tego przeklętego „przysłowiowego” :)

    Odpowiedz
  • 2015.02.18 21:18 Marcin

    „Jeśli znajdujecie się w sytuacji w której podejrzewacie że ktoś mógł…” iście dyplomatyczna wypowiedź.

    Odpowiedz
  • 2015.02.18 21:26 urzytkownig

    Jak dobrze, ze nie uzywam redtube’a tylko inne odpowiedniki :)))

    Odpowiedz
  • 2015.02.18 21:52 oihk

    Na pornhubie chyba miało być premium za darmo w walentynki, tam to by mieli dopiero z sukcesem zainfekowanych maszyn! Pewnie serwery tego serwisu ledwo zipały.

    Odpowiedz
  • 2015.02.18 22:53 [JP2GMD] Jakie życie taki fap

    Ręka w służbie wyobraźni, porno to zło!

    Odpowiedz
  • 2015.02.19 00:12 szczyglis

    Nie rozumiem po co komu RedTube, skoro pod ręką można mieć kobietę, albo innego Pornhuba.

    Odpowiedz
  • 2015.02.19 01:20 Błaszczykowski

    Czy użytkownicy Linuksa również byli podatni?

    Odpowiedz
    • 2015.02.19 02:37 Adam

      Nie, exploit packi nie mają payloadów na Linuksa.

      Odpowiedz
      • 2015.02.19 12:11 Błaszczykowski

        Dziękuje za odpowiedź.

        Odpowiedz
  • 2015.02.19 08:22 rafal

    Mam pytanie nie zwiazane z artykułem. Od pewnego czasu w chrome z3s nie wyswietla się poprawnie, brakuje grafiki tła, wygląda jakby się niedoładowała. połączenie https ma trójkąt żółty. próbowałem wyczyścić historię i dalej to samo. inne strony wyglądają OK… jakieś sugestie?

    Odpowiedz
    • 2015.02.19 08:27 Adam

      A w innych przeglądarkach? Inny komputer w tej samej sieci? Zrzut ekranu? Pisz na emaila.

      Odpowiedz
      • 2015.02.25 13:53 mns

        Potwierdzam, choć nie czytam z3s przez https, to właśnie sprawdziłem i faktycznie nie ładuje się poprawnie.
        Certyfikat jest dla cloudflare:
        Common Name (CN) sni23523.cloudflaressl.com,
        wystawiony przez

        Common Name (CN) COMODO ECC Domain Validation Secure Server CA 2
        Organization (O) COMODO CA Limited

        Ostatnio często widuję słowa „comodo”, „komodia”, itd… :-)

        Odpowiedz
  • 2015.02.19 08:27 znajomy

    Adam: mam nadzieję, że przesadziłeś żartując ;]
    Exploit packi 'nie mają payloadów na Linuxa’ – te konkretne (opisane)? czy wcale nie mają? ;)

    Bo mi się zdaje, że jednak chyba mają… ;]

    Odpowiedz
    • 2015.02.19 08:42 Adam

      Atakowane błędu np. we Flashu dotyczą także wersji linuksowej ale nie znalazłem informacji o payloadach dla tej kategorii systemów w żadnym exploit packu (o next stage nie mówiąc). Jakieś przykłady? Linki?

      Odpowiedz
  • 2015.02.19 11:40 Łukasz

    I już widzę te tłumy fapaczy skanujące komputery :D
    Buehehehehe
    Jak ktoś trafnie wyżej napisał: a nie prościej znaleźć sobie dziewczynę? :D

    Odpowiedz
  • 2015.02.19 13:10 tom

    Czy korzystanie z trybu prywatnego w przeglądarce chroni przed zarażonymi stronami,?

    Odpowiedz
    • 2015.02.19 15:15 Kamil

      Tryb prywatny daje ci jedynie to że strony które ogłądałeś nie zapisują ci się w historii. Używanie trybu prywatnego w żadnym stopniu nie chroni przed exploitami serwowanymi ze stron.

      Odpowiedz
  • 2015.02.19 18:47 hfgthtf

    @Adam a jeśli któryś z czytelników odpala firefoxa w sandboxie do porno, to bezpieczny był?

    Odpowiedz
    • 2015.02.19 20:11 Adam

      Jakim sandboksie?

      Odpowiedz
      • 2015.02.19 21:48 hfgthtf

        Nie znasz sandboxie.com? Albo choćby piaskownica w comodo. Na pewno znasz obie choćby z nazwy i sposobu działania.

        Odpowiedz
        • 2015.02.19 22:32 Adam

          Pytam o jaki sandboxing chodzi, bo to dość ogólne pojęcie. Otwieranie linków w samdboksie systemowym typu np. sandboxie nie powinno zainfekować hosta.

          Odpowiedz
          • 2015.02.19 22:55 hfgthtf

            a swoją drogą, czy wg ciebie łatwo przestępcom obejść piaskownicę? czyli ktoś odpala firefoxa w sandboxie, wchodzi na zarażoną stronę, to czy bardzo ciężko będzie przestępy zrobić malware tak by wydostał się z piaskownicy i zaraził system?

          • 2015.02.19 23:31 Adam

            To oczywiście kolejny poziom zabezpieczeń w wyścigu w którym nie chodzi o to, żeby się nie dało, tylko o to, żeby się nie opłacało. Zwykły internetowy bandzioch odpuści sobie sandboksy bo w czasie, który b musiał na nie poświęcić, zainfekuje tysiące innych użytkowników.

          • 2015.02.21 22:39 Robert

            Dlatego dziś warto wszystko mieć niestandardowe. Niestety waga ma na szalach wygodębezpieczeństwo. Od nas zależy która szala będzie przeważać

  • 2015.02.19 20:39 Janusz

    Skąd mam wiedzieć czy mój komputer jest zainfekowany? Jakie są objawy infekcji? Czy zwykły skaner jak Zemana badź HitmanPro są w stanie wykryć tego szkodnika?

    Odpowiedz
  • 2015.02.20 12:01 Turysta

    A co w chrome wersji portable ?

    Odpowiedz

Zostaw odpowiedź do tom

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Wchodziliście na RedTube ze starym Flashem? Przeskanujcie komputer

Komentarze