Hakeri kompromitovali Dailymotion.com, posetioci usmeravani na sajt sa malverom

Vesti, 07.07.2014, 00:34 AM

Hakeri su kompromitovali popularni web sajt za deljenje videa Dailymotion.com, ubacujući zlonamerni kod sa namerom da preusmere posetioce na web sajt na kome se nalazio Sweet Orange Exploit Kit.

Nema informacija o tome kako su hakeri uspeli da kompromituju Dailymotion.com, ali je uobičajeno u ovakvim slučajevima da se koristi zlonamerno izmenjena reklama sa neke reklamne mreže.

Zlonamerni kod koji sadrži iframe pojavio se na Dailymotion.com 28. juna. iframe je preusmeravao browsere posetilaca na web sajt sa Sweet Orange Exploit Kit, hakerskim alatom koji koristi exploite za Javu, Internet Explorer i Flash Player.

Sweet Orange koristi sledeće propuste: CVE-2013-2551 u Internet Exploreru, za koji je Microsoft objavio ispravku u maju prošle godine, CVE-2013-2460 propust u Javi za koji je Oracle objavio ispravku u junu prošle godine, i CVE-2014-0515 propust u Flash Playeru za koji je ispravka objavljena u aprilu ove godine. Antivirus je dobra zaštita od exploita Sweet Orange Exploit Kit, ali i ažurirani softver takođe može da spreči ovakve prevare, s obzirom da Sweet Orange cilja na stare, već ispravljene propuste.

“Ako ovaj alat uspešno iskoristi neku od ovih ranjivosti, na računar žrtve se preuzima Trojan.Adclicker”, objašnjavaju u Symantecu čiji su istraživači primetili napade sa sajta Dailymotion. “Ovaj malver primorava kompromitovani računar da veštački generiše saobraćaj ka pay-per-click web reklamama da bi doneo prihod napadačima.”

Pay-per-click (plaćanje po kliku) je model oglašavanja koji podrazumeva usmeravanje saobraćaja na web sajt oglašivača. Svaki klik na reklamu donosi izdavaču profit.

Kada je reč o prevarama, izdavač je obično grupa sajber kriminalaca koji zlouptrebljavaju sistem veštačkim generisanjem klikova da bi se povećala zarada. Ciljajući na velike web sajtove i zajednice, sajber kriminalci imaju veće šanse za zaradu.

Predstvanik sajta Dailymotion je potvrdio da je sajt na kratko bio napadnut 28. juna, i da je napad za posledicu imao da određeni ali “veoma ograničeni” broj stranica sajta neko kraće vreme nije bio u funkciji. Ipak, napad malvera nije samo ciljao na Dailymotion “već je uticao na veliki broj izdavača”.

Blokirane stranice su proradile u roku od nekoliko sati a napad je uticao na veoma mali broj korisnika jer sporna reklamna platforma ima ograničene aktivnosti na web sajtu.

Dailymotion.com je 90. na listi 100 najpopularnijih web sajtova prema podacima firme Alexa. Podaci Symanteca ukazuju na to da je većina posetilaca na koje je ovaj napad imao uticaja iz SAD (više od 50%) i Evrope.

Ovo nije prvi put da je Dailymotion.com korišćen za distribuciju malvera. U januaru ove godine, firma Invincea upozorila je na zlonamerni oglas koji se prikazuje na sajtu sa namerom da prevari korisnike da instaliraju lažni antivirus.