Ερευνητές ασφάλειας από την Malwarebytes έχουν ανακάλυψαν μια διαφορετική επίθεση. Οι επιτιθέμενοι χρησιμοποιούν δυο διαφορετικές τεχνικές (social engineering και drive-by downloads), αλλά εκβιασμούς για να επιτύχουν τους κακόβουλους στόχους τους.
Όλα ξεκινούν με μια ψεύτικη ιστοσελίδα του YouTube που ισχυρίζεται ότι προσφέρει πορνό βίντεο. Οι χρήστες που επισκέπτονται το site θα πρέπει να κατεβάσουν την ενημερωμένη έκδοση του Flash Player για να δουν το υποτιθέμενο ακατάλληλο περιεχόμενο.
Το αρχείο ενημέρωσης είναι ένα εκτελέσιμο αρχείο που ενώ ένα το κανονικό εικονίδιο του Flash, στην πραγματικότητα είναι ένα Trojan (Trojan.FakeFlash), το οποίο απενεργοποιεί τον Task Manager και να δημιουργεί καταχωρήσεις μητρώου για να φορτώνεται κάθε φορά που ο υπολογιστής του θύματος ξεκινά να τρέχει.
Τα θύματα της κακόβουλης ενέργειας μπορούν ακόμα να κατεβάσουν και όλα τα υποτιθέμενα ακατάλληλα βίντεο που “προσφέρει” η σελίδα.
Τα βίντεο είναι στην πραγματικότητα αρχεία .Scr (screensaver) που κρύβουν μέσα τους κώδικα από malware ransomware. Το malware ανιχνεύεται από την Malwarebytes σαν Trojan.Ransom.PARPE.
Αν κάποιο από τα θύματα τώρα προσπαθεί να κλείσει την ψεύτικη σελίδα του YouTube, δεν θα μπορέσει να το κάνει, καθώς ένα απλό αρχείο JavaScript θα συνεχίσει να κρατάει το παράθυρο ανοιχτό.
Εν τω μεταξύ, όσο το θύματα είναι απασχολημένοι προσπαθώντας να κλείσουν το παράθυρο, ένα exploit που φιλοξενείται στη σελίδα συνεχίζει να μολύνει τη συσκευή με περισσότερο malware.
Είναι μια πολύπλευρη επίθεση που συναντάται πολύ σπάνια σπάνια και φαίνεται να είναι περισσότερο αποτελεσματική.
“Αναρωτιέμαι αν οι απατεώνες πίσω από αυτή την επίθεση είναι πάρα πολύ άπληστοι ή αν απλά ήθελαν να δοκιμάσουν πόσο καλοί είναι στις μετατροπές” ανεφέρε ο Jerome Segura της Malwarebytes.
Μπορείτε να δείτε όλες τις τεχνικές λεπτομέρειες αυτής της επίθεσης στο blog της Malwarebytes.
