sito Equifax violato di nuovo, questa volta per reindirizzare aggiornamento Flash falso

Nel maggio del servizio di segnalazione di credito sito di Equifax è stato violato da attaccanti che alla fine hanno fatto fuori con i numeri di previdenza sociale, nomi, e una quantità vertiginosa di altri dettagli per alcuni 145.5 milioni di consumatori degli Stati Uniti. Per diverse ore il Mercoledì il sito è stato compromesso di nuovo, questa volta per consegnare fraudolenti aggiornamenti Adobe Flash, che quando si fa clic, visitatori infetti’ computer con adware che è stato rilevato dal solo tre di 65 fornitori di antivirus.

Randy Abrams, un analista di sicurezza indipendente di giorno, è successo a visitare il sito Mercoledì sera a contestare quello che ha detto era falso informazioni che aveva appena trovato la sua relazione di credito. Alla fine, proprio browser aperto una pagina sul dominio hxxp: centerbluray.info che si presentava così:

Era comprensibilmente incredula. Il sito che in precedenza ha dato il backup dei dati personali per praticamente ogni persona negli Stati Uniti con una storia di credito era ancora una volta sotto il controllo di attaccanti, questa volta cercando di ingannare i visitatori Equifax a installare le chiamate Symantec crapware Adware.Eorezo. Conoscere una cosa o due su drive-by campagne, Abrams ha calcolato le probabilità erano scarse avrebbe visto il download su visite di follow-on. Per volare sotto il radar, attaccanti servono spesso i download solo a un numero selezionato di visitatori, e poi solo una volta.

Abrams provato comunque, e con sorpresa, ha incontrato i falsi collegamenti flash scaricare su almeno tre visite successive. L'immagine qui sopra questo post è la schermata più alta risoluzione ha catturato durante una visita. Ha anche fornito il video qui sotto. Essa mostra una pagina di Equifax reindirizzamento del browser per almeno quattro domini prima di aprire finalmente il download Flash alla stessa pagina centerbluray.info.

Equifax flash scaricare

Il file che ha ottenuto consegnato quando Abrams cliccato attraverso viene chiamato MediaDownloaderIron.exe. Questo ingresso VirusTotal mostra solo Panda, Symantec, e Webroot rilevare il file come adware. Questo analisi del malware separata dal pacchetto di sicurezza mostra il codice è altamente offuscato e si sforza di nascondere se stesso da reverse engineering. Malwarebytes contrassegnato il sito centerbluray.info come uno che spinge il malware, mentre sia Eset e Avira forniti simili avvertimenti di malware per uno dei domini intermedi, newcyclevaults.com

Nell'ora veniva segnalato questo post e scritto, Abrams è stato in grado di riprodurre i reindirizzamenti che portano al download malevolo. E 'possibile Equifax ha ripulito il suo sito. E 'anche possibile gli aggressori hanno chiuso per la notte e hanno la capacità di tornare a volontà per visitare disgrazie ancora peggiori sui visitatori. rappresentanti Equifax non hanno risposto a un messaggio e-mail che ha incluso un link al video e cercò commento a questo post.

Fonte