Уебсайтът на Equifax е хакнат отново, този път за пренасочване към фалшива актуализация на Flash

През май службата за отчитане на кредитите на уебсайта на Equifax беше нарушена от нападатели, които в крайна сметка излязоха със социални номера, имена и замайващо количество други подробности за някои 145.5 милиона потребители в САЩ. Няколко часа в сряда сайтът отново беше компрометиран, този път, за да достави измамни Adobe Flash актуализации, които, когато щракнат, инфектираха компютрите на посетителите с рекламен софтуер, открит само от трима доставчици на антивирусни програми на 65.

Ранди Абрамс, независим анализатор по сигурността през деня, случайно посети сайта в сряда вечерта, за да оспори това, което каза, че е невярна информация, която току-що бе открил в кредитния си доклад. В крайна сметка браузърът му отвори страница в домейна hxxp: centerbluray.info, която изглеждаше така:

Той разбира се неверен. Сайтът, който преди това се отказваше от лични данни за практически всеки американски човек с кредитна история, отново беше под контрола на нападателите, този път се опитваше да измами посетителите на Equifax в инсталирането на crapware Symantec Adware.Eorezo, Знаейки нещо или две за дискусионните кампании, Абрамс разбрал, че шансовете му са слаби, че ще види изтеглянето на последващи посещения. За да летят под радара, атакуващите често показват изтеглянията само на определен брой посетители, а след това само веднъж.

Абрамс се опита и така, за да се учуди, той срещна фалшивите връзки за изтегляне на Flash в поне три следващи визити. Картината над този пост е по-висока разделителна способност, която е заснел по време на едно посещение. Той предостави и видеоклипа по-долу. Показва страница на Equifax, пренасочваща браузъра, към най-малко четири домейна, преди окончателното отваряне на изтеглянето на Flash на същата страница centerbluray.info.

Изтегляне на

Файлът, получен, когато кликне върху Abrams, се нарича MediaDownloaderIron.exe. Това Вписване в VirusTotal показва само Panda, Symantec и Webroot, като откриват файла като adware. Това отделен анализ на злонамерен софтуер от Packet Security показва, че кодът е силно затъмнен и се бори, за да се скрие от обратното инженерство. Malwarebytes маркира сайта centerbluray.info като такъв, който тласка злонамерен софтуер, като същевременно Eset и Avira предоставиха подобни предупреждения за злонамерен софтуер за един от междинните домейни, newcyclevaults.com

В часа, в който се съобщава и пише тази публикация, Abrams не успя да възпроизведе пренасочванията, водещи до злонамерено изтегляне. Възможно е Equifax да е изчистил сайта си. Също така е възможно нападателите да са затворили за нощта и да имат способността да се връщат по желание, за да посетят още по-лоши нещастия за посетителите. Представителите на Equifax не отговориха на електронна поща, съдържаща връзка към видеоклипа, и потърсиха коментар за тази публикация.

източник

Обяви

Оставете коментар

GTranslate Your license is inactive or expired, please subscribe again!