Venus AUEB Forum

Ενώ η πρόσφατη επίθεση χάκερς σε 10.000 ιστοσελίδες (δες παρακάτω) είναι ακόμη νωπή, ερευνητές αποκάλυψαν μία νέα μεγάλης κλίμακας επίθεση. Ερευνητές της Mc Affe υπολόγισαν ότι η επίθεση είναι ενεργή μόλις 1 βδομάδα τώρα & κατά τη διάρκειά της, η πλεκτάνη έχει εγκατασταθεί σε περίπου 200.000 ιστοσελίδες.

Οι περισσότερες από τις ιστοσελίδες που προσβλήθηκαν χρησιμοποιούν το λογισμικό phpBB Forum ανέφερε εκπρόσωπος της Mc Afee. Οι επιβαρυμένες ιστοσελίδες έχουν ενσωματώσει ένα Javascript αρχείο που σε συνδέει με την ιστοσελίδα που φιλοξενεί την επίθεση.

Η επίθεση προσπαθεί περισσότερο να εκμεταλλευτεί τον χρήστη ώστε ο ίδιος, χειροκίνητα, να εγκαταστήσει το κακόβουλο φορτίο παρά να εκμεταλλευτεί τις ευπάθειες του φυλλομετρητή.

Αυτό έρχεται σε αντίθεση με την επίθεση της Πέμπτης 13 Μαρτίου όπου η συντριπτική πλειοψηφία των θυμάτων ήταν επίσημες ιστοσελίδες υψηλής επισκεψιμότητας (.ASP) όπως αυτές της κυβέρνησης, των ταξιδιών και χόμπυ εξήγησε ο ερευνητής της McAfee Craig Schmugar σε post του στο blog της εταιρίας.

Οι επιθέσεις των .ASP ιστοσελίδων διαφέρουν από αυτές των phpBB διότι τόσο το παγιδευμένο φορτίο (με κακόβουλο λογισμικό) όσο και η μέθοδος είναι διαφορετικές. Ποικίλες πλεκτάνες χρησιμοποιούνται για τις επιθέσεις των .ASP ιστοσελίδων ενώ αυτές των phpBB βασίζονται στο social engineering.

Οι μολυσμένες ιστοσελίδες φαινομενικά μοιάζουν με ιστοσελίδες που φέρουν πορνογραφικό υλικό. Κατά το άνοιγμά τους, εμφανίζεται ένα παράθυρο που ζητά από το χρήστη να εγκαταστήσει έναν ειδικό κωδικό για να δει το βιντεάκι ή την ταινία που περικλείουν. Ο χρήστης τότε «κατεβάζει» ένα Δούρειο Ίππο (Trojan horse) που εγκαθιστά το επίβουλο λογισμικό (malware) στο σύστημα των χρηστών. Στη συνέχεια, εμφανίζεται στην οθόνη του χρήστη ένα «πειραγμένο» μήνυμα λάθους που λέει στο χρήστη ότι δεν μπορεί να εγκαταστήσει τον υποτιθέμενο κωδικό ενώ στο μεταξύ, αυτός το έχει ήδη εγκαταστήσει.

Πηγή: Shaun Nichols in California, vnunet.com, 17/03 & 18/03/2008 planetdata.net


ΨΗΦΙΑΚΗ ΕΠΙΘΕΣΗ ΚΑΤΑ 10.000 ΙΣΤΟΣΕΛΙΔΩΝ

«Ανυποψίαστοι σέρφερς ανακατευθύνονται αλυσιδωτά σε ιστοσελίδα μολυσμένη με επίβουλο λογισμικό (malware)». Μία εταιρία security εντόπισε 10.000 νοθευμένες ιστοσελίδες από ψηφιακούς κακοποιούς, που σκοπός τους ήταν να εισβάλλουν στους Η/Υ ανυποψίαστων σέρφερς.

Οι ιστοσελίδες τροποποιήθηκαν έτσι ώστε σιωπηλά, οι επισκέπτες να ανακατευθύνονται αλυσιδωτά σε άλλες ιστοσελίδες μολυσμένες με επίβουλο λογισμικό (malware) που έχει σκοπό να διεισδύσει στους Η/Υ των χρηστών. Τα McAfee Avert Labs περιέγραψαν την απόπειρα επίθεσης ως «ένα από τα μεγαλύτερα χτυπήματα αυτού του είδους την σήμερον ημέρα»!

Οι ανακατευθύνσεις και οι προσπάθειες εισβολής αποκρύπτονται από τα μάτια του ανυποψίαστου χρήστη. Επιβαρυμένες ιστοσελίδες περικλείουν καθημερινές διαδρομές χρηστών όπως αυτές της κυβέρνησης, των ταξιδίων και χόμπυ. Η επίθεση χρησιμεύει ως υπενθύμιση ότι ακόμη και άκρως εμπιστευτικές ιστοσελίδες μπορεί να έχουν κακόβουλο λογισμικό προειδοποίησε ο ειδικός της McAfee.

«Συχνά ακούμε προειδοποιήσεις να μην επισκεπτόμαστε ιστοσελίδες που δεν είναι αξιόπιστες. Αυτή είναι μία καλή συμβουλή αλλά δεν είναι αρκετή. Ακόμη και ιστοσελίδες που γνωρίζεις και εμπιστεύεσαι μπορεί να παραβιαστούν» αναφέρει ο Craig Schmugar ειδικός σε θέματα απειλών & ασφάλειας στα McAfee Avert Labs.

Οι αναπρογραμματιζόμενες ιστοσελίδες είναι πιθανόν θύματα μιας αυτοματοποιημένης επίθεσης, οι οποίες έχουν σκαναριστεί από πριν και μόλις διαπιστωθεί ότι οι διακομιστές τους δεν έχουν την απαραίτητη ασφάλεια & προστασία, εμφυτεύουν σ’ αυτές ένα κομμάτι από κώδικα JavaScript που ανακατευθύνει τον χρήστη σε ιστοσελίδα στην Κίνας προς εξυπηρέτηση του κακόβουλου λογισμικού.

Το κοκτέιλ επίβουλου λογισμικού (malware) επιχειρεί να εκμεταλλευτεί ευπάθειες των Windows, RealPlayer και άλλων εφαρμογών για να εισβάλλει στον Η/Υ. Επίσης, μία πίσω πόρτα επιτρέπει την επακόλουθη εγκατάσταση κάποιων πρόσθετων κακόβουλων προγραμμάτων.

Τα McAfee Avert Labs εντόπισαν αρχικά την επίθεση στις 12 Μαρτίου όπου «Μία από τις 10.000 ιστοσελίδες που είχε παραβιαστεί είχε ήδη “καθαριστεί” από πρόγραμμα που καταργεί το επίβουλο λογισμικό (malware, spyware κλπ). Μία ενιαία οντότητα είναι πιθανόν να κρύβεται πίσω από αυτήν την επίθεση, σφού ο κακόβουλος κώδικας σε όλες αυτές τις ιστοσελίδες προερχόταν από τον ίδιο διακομιστή στην Κίνα» δήλωσε η εταιρεία.

Πηγή: Robert Jaques vnunet.com, 13 Mar 2008