Μια ανησυχητική αποκάλυψη προέκυψε – το eFile.com, μια εγκεκριμένη από την IRS πλατφόρμα ηλεκτρονικής υποβολής που χρησιμοποιείται από αμέτρητους φορολογούμενους για να υποβάλουν τις φορολογικές τους δηλώσεις, διανέμει malware JavaScript!
Μετά από εκτεταμένη έρευνα, οι αναλυτές ασφαλείας κατέληξαν στο συμπέρασμα ότι ένα κακόβουλο αρχείο JavaScript είχε παραμείνει στον ιστότοπο eFile.com για εβδομάδες. Για να επιβεβαιώσει τα ευρήματά τους, η BleepingComputer επιβεβαίωσε την παρουσία αυτού του επικίνδυνου κώδικα κατά τη στιγμή της έρευνας.
Λάβετε υπόψη ότι αυτό το περιστατικό ασφαλείας αφορά το eFile.com και δεν σχετίζεται με άλλα παρόμοια domain.
Δείτε επίσης: Χάκερ φαίνεται να έχουν παραβιάσει το σύστημα email της Equifax
Ακριβώς στην ώρα της φορολογικής περιόδου
Πολλοί χρήστες και ερευνητές ανακάλυψαν ότι το eFile.com διανέμει κακόβουλο λογισμικό, συγκεκριμένα ένα αρχείο JavaScript με όνομα ‘popper.js’.
Σε αυτή την κρίσιμη συγκυρία, καθώς οι φορολογούμενοι ολοκληρώνουν τις φορολογικές τους δηλώσεις στην IRS πριν από την καταληκτική ημερομηνία της 18ης Απριλίου.
Ο επισημασμένος παραπάνω κώδικας είναι κωδικοποιημένος με base64 με την αποκωδικοποιημένη έκδοσή του που φαίνεται παρακάτω. Ο κώδικας επιχειρεί να φορτώσει JavaScript που επιστράφηκε από το infoamanewonliag[.]online:
Για να διασφαλίσουν ότι οι επισκέπτες του eFile.com λαμβάνουν την πιο ενημερωμένη έκδοση του κακόβουλου κώδικά τους, οι απειλητές προσθέτουν ένα call του Math.random() στο τέλος αυτού του κακόβουλου λογισμικού – διασφαλίζοντας ότι δεν αποθηκεύεται στην προσωρινή μνήμη και ότι κατεβαίνει πάντα πρόσφατα με οποιεσδήποτε τροποποιήσεις έχουν γίνει από αυτούς. Ευτυχώς, μέχρι στιγμής, αυτό το endpoint φαίνεται να είναι ανενεργό.
Όπως εξακριβώθηκε από το BleepingComputer, το κακόβουλο αρχείο JavaScript ‘popper.js’ φορτωνόταν σχεδόν σε κάθε σελίδα του eFile.com μέχρι την 1η Απριλίου, ένα ανησυχητικό παράδειγμα κινδύνου για την ασφάλεια των χρηστών που επισκέπτονται αυτόν τον ιστότοπο.
Από σήμερα, το αρχείο δεν εμφανίζεται πλέον να εξυπηρετεί τον κακόβουλο κώδικα.
Δείτε επίσης: Cybersecurity: Οι remote workers εξακολουθούν να προκαλούν μια σειρά από κινδύνους
Ο ιστότοπος έγινε “hijack” πριν από περισσότερες από 2 εβδομάδες
Στις 17 Μαρτίου, ένα ύποπτο thread του Reddit έγινε viral και αποκάλυψε ότι πολλοί χρήστες του eFile.com ήταν πεπεισμένοι ότι ο ιστότοπος είχε γίνει “hijack”.
Όταν εξετάστηκε αρχικά ο ιστότοπος, εμφανίστηκε ένα μήνυμα σφάλματος SSL που θα μπορούσε να είναι σημάδι παραβίασης- κάποιοι πίστεψαν ότι μπορεί να είναι κατασκευασμένο.
Παραδόξως, αυτό αποδείχθηκε σωστό: οι ερευνητές εντόπισαν ένα παράπλευρο αρχείο που αναφέρεται ως “update.js”, το οποίο συνδεόταν με την επίθεση και φιλοξενούνταν από ένα Amazon AWS endpoint.
Αφού το BleepingComputer απέκτησε το αρχείο ‘update.js’, ανακαλύφθηκε ότι ένα ψευδές μήνυμα σφάλματος SSL ήταν κωδικοποιημένο σε κώδικα HTML base64 (βλ. παρακάτω).
Ένα απόσπασμα HTML από το decoded string που δημιουργεί το ψεύτικο σφάλμα SSL φαίνεται παρακάτω:
Το κακόβουλο αρχείο JavaScript ‘update.js’ επιχειρεί περαιτέρω να παρακινήσει τους χρήστες να κάνουν λήψη του ωφέλιμου φορτίου του επόμενου σταδίου, ανάλογα με το αν χρησιμοποιούν Chrome [update.exe – VirusTotal] ή Firefox [installer.exe – VirusTotal]. Τα προϊόντα προστασίας από ιούς έχουν ήδη αρχίσει να επισημαίνουν αυτά τα εκτελέσιμα ως trojans.
Το BleepingComputer έχει επιβεβαιώσει ανεξάρτητα ότι αυτά τα binaries δημιουργούν μια σύνδεση με μια διεύθυνση IP στο Τόκιο, 47.245.6.91, η οποία φαίνεται να φιλοξενείται με την Alibaba. Η ίδια IP φιλοξενεί και το παράνομο domain, infoamaneewonliag[.]online που σχετίζεται με αυτό το περιστατικό.
Η MalwareHunterTeam, μια ομάδα έρευνας ασφαλείας, εξέτασε περαιτέρω τα δυαδικά αρχεία και ανακάλυψε ότι είχαν κατασκευαστεί σε PHP botnets για Windows. Η ομάδα αστειεύτηκε με αυτή την ανακάλυψη προτού επισημάνει την αποτυχία της eFile.com να αφήσει αυτούς τους κακόβουλους κώδικες στον ιστότοπό της για πολλές εβδομάδες χωρίς να λάβει κανένα μέτρο.
Οι πλήρεις συνέπειες αυτής της επίθεσης, συμπεριλαμβανομένου του κατά πόσον οι επισκέπτες και οι πελάτες του eFile.com μολύνθηκαν επιτυχώς ή όχι, είναι ακόμη αβέβαιες προς το παρόν.
Πηγή πληροφοριών: bleepingcomputer.com
