Napadi malvera Fleercivet na korisnike Chromea

Vesti, 19.01.2017, 01:00 AM

Napadi malvera Fleercivet na korisnike Chromea

Korisnici Google Chromea trebalo bi da budu oprezni sa web sajtovima na kojima im se nudi da preuzmu paket ažuriranja fontova za browser, jer fajl koji će u tom slučaju preuzeti je najverovatnije malver.

Na ovo su upozorili stručnjaci kompanije Profpoint koji kažu da su u opasnosti samo korisnici Chromea na Windowsu, i to samo iz pojedinih zemalja, i samo ako posete kompromitovani sajt na koji ih upućuju rezultati pretrage.

Tehnika koju koriste napadači bazira se na kompromitovanim web sajtovima čijem izvornom kodu hakeri dodaju svoje skripte.

Ove skripte filtriraju dolazni saobraćaj i učitavaju još jednu malicioznu skriptu samo za korisnike Chromea na Windowsu.

Ova druga skripta će zameniti HTML tagove sa "& # 0" koji narušavaju sadržaj sajta i prikazuju "�" karaktere preko cele stranice.

Ovi karakteri se često sreću na web sajtovima i u softveru kada postoji problem sa prikazivanjem fontova i karaktera. Kriminalci prikazuju popup prozor u kome se korisniku saopštava da određeni font nije pronađen na njihovom uređaju, i da korisnik mora da preuzme i instalira paket ažuriranja fontova.

Da bi ovom obaveštenju dali legitimitet, popup je obeležen logom Google Chromea i ima slična obeležja koja se viđaju na zvaničnom sajtu Google Chromea.

Ovo se može videti na hakovanim web sajtovima, koji su deo EITest kampanje distribucije malvera.

Grupa koja stoji iza ove kampanje radi tako što kompromituje veliki broj web sajtova, obično WordPress ili Joomla, koristeći poznate bezbednosne propuste.

Oni rade tako što kradu male količine saobraćaja sa ovih sajtova i preusmeravaju korisnike na maliciozni payload.

EITest kampanja je prvi put primećena 2014., a tokom vremena menjali su se malveri koji su distribuirani, što ukazuje na to da grupa EITest iznajmljuje svoj izvor saobraćaja drugim sajber kriminalcima.

U većini slučajeva, saobraćaj se rentira onima koji koriste exploit alate, koji iskorišćavaju propuste u Flashu, Silverlightu, IE, i tako automatski instaliraju malvere na uređaje korisnika, a da korisnici pri tom ne primete da se nešto loše dešava.

Ovi napadi sa fontovima koji navodno nisu nađeni su drugačiji jer se oslanjaju na to da korisnici kliknu na dugme za preuzimanje, nešto što ne garantuje isti nivo uspešnosti infekcije kao kada se koriste exploit alati.

Iz Profpointa kažu da su paketi ažuriranja fontova koje korisnici preuzimaju u ovim napadima inficirani malverom Fleercivet, koji je umešan u prevare sa klikovima. On je odgovoran za klikove na reklame, od kojih kriminalci zarađuju.

Isti malver je reklamiran na forumima koji okupljaju sajber kriminalce početkom 2015. pod imenom Simby, a krajem 2015. i 2016. pod imenom Clicool.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

OBAVEŠTENJE o godišnjem odmoru

Sajt neće biti ažuriran u periodu od 10. do 30. septembra zbog godišnjih odmora.... Dalje

Hakovan British Airways, ukradeni podaci o 380000 platnih kartica

Hakovan British Airways, ukradeni podaci o 380000 platnih kartica

Kompanija British Airways, koja za sebe kaže da je "omiljena svetska avio-kompanija", potvrdila je da je hakovana i da su tokom dve nedelje napadači... Dalje

Lozinke 570000 igrača Mortal Online prodaju se na forumima

Lozinke 570000 igrača Mortal Online prodaju se na forumima

Informacije o nalozima 569703 igrača Mortal Onlinea, prodate su nekoliko puta posle napada koji se dogodio 17. juna, kada je nepoznati napadač ili v... Dalje

Za deseti rođendan Chrome dobio brojna funkcionalna i sigurnosna poboljšanja

Za deseti rođendan Chrome dobio brojna funkcionalna i sigurnosna poboljšanja

Pre deset godina Google je objavio prvu verziju svog pregledača koji je nazvan Chrome. Ove nedelje je kompanija objavila 69. verziju Chromea. Novi Ch... Dalje

Vodafon traži od korisnika koji su koristili lozinku 1234 da vrate novac koji su ukrali hakeri

Vodafon traži od korisnika koji su koristili lozinku 1234 da vrate novac koji su ukrali hakeri

Sud u Češkoj nedavno je osudio dvojicu hakera na tri godine zatvora zbog toga što su opljačkali na desetine korisnika Vodafona. Oni su upadali u n... Dalje