Francuski badacz bezpieczeństwa odkrył nową próbę ataku hakerów, która wykorzystuje tysiące skompromitowanych stron internetowych. Oto co się dzieje
Spośród różnych rodzajów ataków hakerskich stosowanych obecnie, pozostaje on jednym z najniebezpieczniejszych i najmniej znanych ogółowi społeczeństwa. A to przyczynia się, w swego rodzaju cybernetycznym zwarciu, do dalszego zwiększenia stopnia zagrożenia i "śmiertelności". Ataki hakerów przeprowadzane za pośrednictwem zagrożonych stron internetowych są nadal trudne do wykrycia, a tym samym do zwalczenia.
W świetle tych przesłanek nie powinno być tak trudno zrozumieć zaniepokojenie Jérôme'a Segury, głównego analityka złośliwego oprogramowania w firmie Malwerbytes. Francuski badacz i ekspert ds. bezpieczeństwa komputerowego odkrył nową rodzinę złośliwego oprogramowania bankowego, które rozprzestrzenia się w sieci za pośrednictwem tysięcy zhakowanych, ale w oczach internautów zupełnie "normalnych" stron internetowych. Według Segury, w poście opublikowanym na blogu Malwerbytes, hakerzy byli w stanie wykorzystać luki, które pozwoliły im naruszyć portale stworzone za pomocą jednych z najbardziej popularnych platform zarządzania treścią (WordPress, Joomla i SquareSpace to te wymienione przez francuskiego badacza). Dzięki temu cyberprzestępcy mogli włamać się na dziesiątki tysięcy stron internetowych (przynajmniej z teoretycznego punktu widzenia) i zainfekować nieokreśloną liczbę użytkowników. Aby być precyzyjnym, nie można jednak określić dokładnej liczby zaatakowanych portali: według Segury było to kilka tysięcy, ale liczba ta może się zmieniać z dnia na dzień.
Jak działa atak na skompromitowane strony
Aby zmaksymalizować liczbę poszkodowanych użytkowników, hakerzy zastosowali kilka sztuczek, które utrudniły identyfikację ataku. Skompromitowane portale wyświetlają komunikat dla niewielkiej liczby użytkowników z prośbą o aktualizację używanej przeglądarki lub Flasha: aby uniknąć wrażenia fałszywego ostrzeżenia, hakerzy analizują komputer potencjalnej ofiary, tworzą profil i pokazują ostrzeżenie o aktualizacji jeden raz. Jeśli ofiara da się na to nabrać, pobierze złośliwy plik JavaScript: rodzaj konia trojańskiego, który automatycznie rozpocznie pobieranie właściwego wirusa. W tym momencie złośliwe oprogramowanie pozostaje "ukryte", dopóki użytkownik nie spróbuje wejść na swój portal bankowości domowej w nadziei na kradzież danych logowania.