Az új rosszindulatú programok hamis böngészőfrissítésként terjednek a feltört webhelyeken

Vírus ransomware kártevő

A legtöbb rosszindulatú program-támadás a felhasználók becsapására támaszkodik egy sérült futtatható fájl elindításában, és az online bűnözők rengeteg módszert találtak ki erre. Van egy új kártevő program, amely feltört weboldalakon keresztül online körbejár, és kifinomult átirányításokat és módosított JavaScriptet használ egy rosszindulatú teher betöltésére a számítógépére. Malwarebytes szerint , valószínűleg több ezer érintett webhely van.

A támadás nagy valószínűséggel tavaly év végén kezdődött, és néhány helyszín üzemeltetője februárban kezdte észrevenni, hogy valami folyamatban van. A WordPress, a SquareSpace és a Joomla tartalomkezelő rendszereket használó webhelyeket célozta meg az úgynevezett „FakeUpdates kampány” mögött álló csoport. A támadók vagy módosítják, vagy kicserélik a webhelyen található JavaScript fájlokat a látogatók megcélozása érdekében.



Amikor meglátogatja a fertőzött webhelyek egyikét, kap egy hamis frissítési értesítést (innen a név), amely elindítja a fertőzést. Elgondolkodhat azon, hogy ez a támadás miként bukkanhat fel több ezer webhelyen hónapokig észlelés nélkül, egészen a közelmúltig. Ez egy okos támadás, amely könnyed érintést alkalmaz a webhely látogatóival. Az egyik, csak hamis frissítési értesítést szolgáltat IP-címekenként. A frissítésről szóló értesítés (amely egy átirányított URL) a böngészőjének megfelelő témájú. Tehát a Firefox-felhasználók kapnak egy oldalt a Firefox egy régi verziójának futtatásáról, és ez ugyanaz a Chrome-felhasználók számára. Van egy verzió a Flash-frissítésekhez is. Ezeknek az oldalaknak a stílusa foltosnak tűnik.





Ha mégis bejön a hamis frissítés, akkor nem kap futtatható fájlt. Ehelyett egy rosszindulatú JavaScript-fájlt szolgáltat ki a Dropbox. A Dropbox URL gyakran változik az észlelés és a blokkolás elkerülése érdekében. A szkript elemzi az áldozat rendszerét, és rugalmasságot biztosít a támadónak a tényleges hasznos teher szállításához. Ha egy rendszer nem elég vonzó, a parancsfájl rosszindulatú programok telepítése nélkül leállhat.



A FakeUpdates kampány fertőzésének végeredménye, hogy a rendszere a Chtonic banki kártevőt futtatja, amely a ZeusVM egyik változata. Ez lehetővé teszi a támadó számára a rendszer teljes irányítását, ideértve a fájlátvitelt és a távoli hozzáférést is.



Most, hogy a macska kint van a zsákból, az oldal üzemeltetői és a CMS-rendszerek megkezdhetik a FakeUpdates megtisztítását a webhelyekről. Nem fog eltűnni egyik napról a másikra, és lehet, hogy csak mutál, hogy elkerülje az észlelést, és később visszatér. A legjobb megoldás az, hogy soha ne bízzon a felugró ablakokban, amelyek azt mondják, hogy töltsön le valamit, még akkor is, ha azok jogosnak tűnnek. Csak a saját feltételei szerint töltse le.