Equifax-Website erneut gehackt, diesmal um auf Flash-Update umzuleiten

In May credit reporting service Equifax's website was breached by Angreifer, die sich schließlich mit Sozialversicherungsnummern, Namen und einer schwindelerregenden Menge anderer Details abmühten for some 145.5 million US consumers. For several hours on Wednesday the site was compromised again, this time to deliver fraudulent Adobe Flash updates, which when clicked, infected visitors' computers with adware that was detected by only three of 65 antivirus providers.

Randy Abrams, ein unabhängiger Sicherheitsanalytiker bei Tag, besuchte die Website am Mittwochabend zufällig, um zu bestreiten, was er als falsche Information, die er gerade in seinem Kreditbericht gefunden hatte, anführte. Schließlich öffnete sein Browser eine Seite auf der Domain hxxp: centerbluray.info, die so aussah:

Er war verständlicherweise ungläubig. Die Website, die zuvor für fast jede US-Person mit einer Kredithistorie persönliche Daten preisgab, war erneut unter der Kontrolle von Angreifern. Diesmal versuchte sie Equiffax-Besucher dazu zu bringen, crapware-Symantec-Anrufe zu installieren Adware.Eorezo. Knowing a thing or two about drive-by campaigns, Abrams figured the chances were slim he'd see the download on follow-on visits. To fly under the radar, attackers frequently serve the downloads to only a select number of visitors, and then only once.

Abrams versuchte es trotzdem und zu seinem Erstaunen stieß er bei mindestens drei aufeinanderfolgenden Besuchen auf die gefälschten Flash-Download-Links. Das Bild über diesem Post ist der Screenshot mit höherer Auflösung, den er während eines Besuchs aufgenommen hat. Er stellte auch das Video zur Verfügung. Es zeigt eine Equifax-Seite an, die den Browser auf mindestens vier Domains umleitet, bevor der Flash-Download auf der gleichen centerbluray.info-Seite endlich geöffnet wird.

Equifax Flash herunterladen

Die Datei, die beim Klicken von Abrams geliefert wurde, heißt MediaDownloaderIron.exe. Dies VirusTotal-Eintrag zeigt nur Panda, Symantec und Webroot an, die die Datei als Adware erkennen. Dies separate Malware-Analyse von Packet Security zeigt der Code ist stark verschleiert und ist bemüht, sich vor Reverse-Engineering zu verbergen. Malwarebytes hat die Website centrebluray.info als Malware-Schädling markiert, während sowohl Eset als auch Avira ähnliche Malwarewarnungen für eine der Zwischendomänen, newcyclevaults.com, zur Verfügung stellten

In the hour this post was being reported and written, Abrams was unable to reproduce the redirects leading to the malicious download. It's possible Equifax has cleaned up its site. It's also possible the attackers have shut down for the night and have the ability to return at will to visit still worse misfortunes on visitors. Equifax representatives didn't respond to an e-mail that included a link to the video and sought comment for this post.

Quelle

Werbung

Hinterlasse einen Kommentar

GTranslate Your license is inactive or expired, please subscribe again!