Хакнати сайтове за възрастни разпространяват банкови вируси

Next story

Сайтовете за възрастни (което е евфемизъм за сайтове, предлагащи порнографско съдържание) могат да се окажат опасно място, особено за банкиращите онлайн. И особено, ако са с произход Япония. Ще попитате защо? Анализаторите ни успяха да разкрият организирана киберпрестъпна атака, чиято цел е да краде данните за достъп на потребителите до банкови уебсайтове. Кражбата се осъществява посредством вирус, който се разпространява чрез японски сайтове за възрастни. А вирусът си има и име – това е Win32/Aibatook, насочен срещу потребителите на Internet Explorer, които са и клиенти на японски банки. И в частност срещу посетителите на едни от най-големите японски порнографски сайтове: sukuhabo.net
www.uravidata.com
pppv.xxxurabi.com
mywife.cc
При посещение на която и да е от изброените компрометирани страници, потребителите биват пренасочвани към страница, която се опитва да се възползва от Java уязвимост CVE-2013-2465. Тук е важно да отбележим, че всъщност всеки сайт може да бъде компрометиран по подобен начин и да бъде използва н за разпространяване на вируси, създадени с идеята да заразят компютрите на посетителите им. Затова, не си мислете, че само порнографските сайтове могат да бъдат използвани за осъществяване на подобна атака – всички са застрашени. Създателите на подобни вируси обаче определено са по-безскрупулни, когато става въпрос за порнографски сайтове, най-малкото защото обикновено трафикът към тях е огромен, което гарантира повече потенциални жертви.   Може да ви се струва необичайно, но случая наистина става въпрос за атака, използваща само една уязвимост. Странно, защото стандартният подход на повечето киберпрестъпници е да залагат на поне няколко пробойни в сигурността на компютрите на посетителите с надеждата да уцелят подходящата за зараза.Използваната св случая техника пренасочва неподозиращите потребители към външен сайт при зареждане на заразен сайт. Страницата обаче показва 404 -  т.е. казва, че търсеният от потребителя URL не може да бъде открит на съответния сървър. И отново, за неподозиращите потребители това съпбщение не означава абсолютно нищо страшно – просто сбъркан адрес или изтрита страница. Един върз поглед в изходния код на 404 страницата обаче е достатъчен, за да ни покаже защо трябва да се притесняваме, ако попаднем на нея. Защото в кода на страницата е заложено изпълнението на Java аплет. За да избегне евентуално засичане, аплетът се сервира с код, в който има брояч. Броячът от своя страна ограничава вмъкването на кода, използван за зараза, в 404 страницата. Това означава, че не всички потребители, които биват пренасочени към адреса, са изложени на риск от зареждането на аплета. И все пак, за тези, на които съдбата е отредила това „щастие“, вирусът започва да върши мръсната си работа веднага след зареждането на сайта. Той изчаква потребителите да се опитат да влязат в акаунтите в през сайтове на японски банки, използвайки Internet Explorer (между другото, това е най-популярният браузър в Япония). Веднага щом подобно действие бъде засечено, вирусът добавя фалшиви полета за въвеждане на информация по време на процеса на въвеждане на потребителско име и парола от страна на потребителя. В горния ример, вирусът Aibatook е инжектирал фалшива форма за логин, след като потребителят посети Японска банка. Формата изисква въвеждането на лични данни, а цитираната причина за искането е „ъпгрейд на системата на банката“. Откраднатата по този начин информация е изпращана на команден сървър, подчинен на създателите на вируса.
Естествено, ако потребителят се опита да посети страницата на банката, посветена на предупреждения за евентуални фишинг атаки, той бива автоматично пренасочен към същата логин форма. При това, без изобщо да има възможността да види каквито и да било съвети за сигурност. През последните няколко месец създателите на Aibatook разработиха няколко варианта на зловредния код, които могат да крадат потребителски имена и пароли от услуги за уеб хостинг, търговци на домейни и други подобни организации. От техническа гледна точка, кодът беше пренаписан от Delphi на C++. След тези промени, потребителите на над 90 японски уебсайта са застрашени от подобни атаки. Java уязвимостта, използвана за атаката, е всъщност отдавна запушена от Oracle – още през юни 2013 г. А в един идеален свят всеки би се надявал, че при наличието на решение на един проблем (в случая – запушването на дупка в сигурността на браузър), той би трябвало да бъде лесно решен. За съжаление, става ясно, че много потребители не обръщат внимание на сигурността си и не ъпдейтват пачовете за сигурност. Така дават на киберпрестъпниците просто още едно оръжие в арсенала им. Простата истина е, че един прост ъпдейт на системите за сигурност на компютъра на всеки един от вас, потребителите, може да ви спаси от множество подобни атаки. На практика, почти всеки софтуер, който работи на компютъра ви, има някакви уязвимости – независимо дали те са открити или не. Повечето, да се надяваме, не са сериозни или не могат да бъдат използвани лесно за заразяване на компютрите ви. Но всеки нов ред код, който стартирате на компютъра си, увеличава рисковете. Затова, нашият съвет към вас е да следите внимателно какво точно работи на компютъра ви и да се опитвате да инсталирате ъпдейтите за сигурност максимално често, за да не изпадате в подобни ситуации. Защото – още веднъж ще кажем – не са виновни само сайтовете, всеки един от тях може да стане жертва на подобна атака, независимо дали е порнографски или не.И още нещо. Тази атака може да ви се струва доста далечна – Япония е хиляди километри от София. Но замислете се, киберпрестъпниците са създали вирус, който засяга само определен браузър и още по-специално – само една единствена определена уязвимост на този браузър. Дали не биха направили подобна инвестиция и в български сайтове? Затова, имайте едно на ум какво инсталирате на компютъра си. И не забравяйте една задължителна стъпка за сигурността на компютъра си: използвайте лицензиран софтуер за защита от вируси и зловредни кодове. Опитайте ESET NOD32 Antivirus, над 100 млн. потребители по света вече ни се довериха.