Οι κυβερνοεγκληματίες διανέμουν κακόβουλο payload και κρύβουν τα ίχνη τους με φύτευση κώδικα σε “Account Suspended” σελίδες που εμφανίζονται όταν λογαριασμοί έχουν απενεργοποιηθεί.
Ερευνητές ασφαλείας ανακάλυψαν ότι απατεώνες στράφηκαν σε αυτό το τέχνασμα για να οδηγήσουν τους επισκέπτες να πιστέψουν λανθασμένα ότι η ιστοσελίδα που επισκέφθηκαν δεν είναι πλέον ενεργή, καθιστώντας πιο δύσκολο να προσδιοριστεί πώς ο υπολογιστής τους έχει παραβιαστεί.
Ο Jerome Segura της Malwarebytes εντόπισε την πρακτική αυτή στις ιστοσελίδες διαχείρισης μέσω του cPanel, ένα από τα πλέον χρησιμοποιούμενα web hosting πάνελ διαχείρισης.
Το συμπέρασμα ότι στη σελίδα με το μήνυμα “Account Suspended” διαβιβάζονται κάτι απαρπάνω από το μήνυμα συνίσταται στο γεγονός ότι δεν ήταν διαθέσιμο στο root του domain, όπως κανονικά θα έπρεπε.
Ο Segura βρήκε στοιχεία που αποδεικνύουν ότι μια νόμιμη ιστοσελίδα είχε παραβιαστεί και ότι μια ψεύτικη σελίδα με τίτλο “Account Suspended” περιελάμβανε κακόβουλο iframe που οδηγεί στη σελίδα προορισμού του Fiesta exploit kit.
Η διεύθυνση URL που οδηγεί στο εργαλείο επίθεσης και οι παράμετροι μεγέθους του iframe μεταβάλλονται σε σταθερή βάση ως τακτική αποφυγής ανίχνευσης από διάφορα εργαλεία ασφαλείας που βασίζονται σε signatures για τον εντοπισμό των κακόβουλων στοιχείων.
Όταν ένας χρήστης έχει πρόσβαση στην κακόβουλο σελίδα, πραγματοποιείται επαλήθευση, για τον καθορισμό του web browser και περιέχει ευάλωτες plug-in εκδόσεις.
Ο Segura σημείωσε την Πέμπτη ότι η σελίδα προορισμού που οδηγεί στο Fiesta exploit kit καλεί πολλαπλά exploits, για το Flash Player (CVE-2015-0311), το Silverlight (CVE-2013-0074), το PDF (CVE-2010-0188) και τη Java (CVE-2013-2465 ). Μόνο ένα από αυτά είναι να αξιοποιηθεί σε κάθε υπολογιστή.
Η γενική σύσταση προς τους χρήστες είναι να εφαρμόσουν όλα τα τελευταία patches λογισμικού που εκδίδονται από τους προγραμματιστές, ακόμη περισσότερο στην περίπτωση των browser plug-ins.
