Lažna ažuriranja za Chrome, Firefox i Flash Player inficiraju računare trojancima Chthonic i NetSupport

Vesti, 13.04.2018, 12:00 PM

Lažna ažuriranja za Chrome, Firefox i Flash Player inficiraju računare trojancima Chthonic i NetSupport

Bezbednosni istraživač kompanije Malwarebytes Džerom Segura otkrio je novu kampanju distribucije malvera čiji organizatori koriste više hiljada hakovanih sajtova kako bi preusmerili korisnike na web stranice na kojima ih čekaju lažna softverska ažuriranja čiji je zadatak da računare posetilaca inficiraju malverom.

Prema rečima Segure, ova veoma organizovana i dinamična kampanja je počela pre četiri meseca, u decembru 2017. godine.

Segura je ovu kampanju nazvao "FakeUpdates" jer svi zlonamerni web sajtovi preusmeravaju potencijalne žrtve na web stranice na kojima se hostuju paketi lažnih ažuriranja za različite tipove softvera, a najčešće za Google Chrome, Mozilla Firefox, Internet Explorer ili Adobe Flash Player.

Kriminalci koji stoje iza ove kampanje oslanjaju se na hakovane sajtove da bi preoteli legitimni saobraćaj za stranice sa lažnim ažuriranjima.

Segura kaže da je primetio da najveći deo saobraćaja dolazi sa hakovanih WordPress, Joomla i Squarespace sajtova, ali i da je primetio da kriminalci koriste i druge CMS platforme.

Način na koji su kriminalci otimali saobraćaj sa ovih sajtova podrazumevao je ubacivanje JavaScript koda u već postojeće JS fajlove na sajtu, ili tako što bi u potpunosti učitali novi JS fajl. Uloga ovog zlonamernog JS koda bila je da sprovede korisnike kroz niz automatskih preusmeravanja sve dok ne završe na drugim hakovanim web sajtovima na kojima su kriminalci hostovali stranice sa paketima lažnih ažuriranja.

Korisnici koji bi bili prevareni da preuzimu pakete ažuriranja nisu dobijali EXE fajl, već još jednu JS skriptu, obično hostovanu na linku Dropboxa. Pokretanje JS skripte bi preuzelo i instaliralo payload malvera.

Segura kaže da je u pitanju bio bankarski trojanski Chthonic, ali u izveštajima nekih drugih istraživača koji su se bavili istom kampanjom spominje se NetSupport (RAT) trojanac za daljinski pristup.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Korisnici iPhonea mete napada upitima za resetovanje lozinke

Korisnici iPhonea mete napada upitima za resetovanje lozinke

Sofisticirana phishing kampanja koja cilja korisnike iPhonea poslednjih meseci ukazala je na slabost u Appleovom mehanizmu za resetovanje lozinke. Pre... Dalje

Mobi Banka upozorava na pokušaje prevare na društvenim mrežama

Mobi Banka upozorava na pokušaje prevare na društvenim mrežama

Mobi Banka je upozorila korisnike da su se na društvenim mrežama pojavili lažni profili koji koriste ime i logo Mobi Banke i pozivaju korisnike da,... Dalje

Googleova AI pretraga preporučuje korisnicima opasne sajtove i prevare

Googleova AI pretraga preporučuje korisnicima opasne sajtove i prevare

Ranije ovog meseca, Google je počeo da uvodi novu funkciju pod nazivom Google Search Generative Experience (SGE) u rezultate pretrage, koja pruža br... Dalje

Lažne ponude popularnog leka Ozempic preplavile internet, stručnjaci upozoravaju na fišing prevare

Lažne ponude popularnog leka Ozempic preplavile internet, stručnjaci upozoravaju na fišing prevare

Stručnjaci kompanije Kaspersky upozorili su na alarmantan trend pojave fišing stranica koje se predstavljaju kao sajtovi legitimnih prodavaca koji n... Dalje

Uvedene sankcije protiv tri berze kriptovaluta zbog pomoći Rusiji

Uvedene sankcije protiv tri berze kriptovaluta zbog pomoći Rusiji

Kancelarija za kontrolu strane imovine američkog Ministarstva finansija (OFAC) sankcionisala je tri berze kriptovaluta zbog nuđenja usluga koje se k... Dalje