O site Equifax foi pirateado novamente, desta vez para redirecionar para a atualização falsa do Flash

Em maio, o serviço de relatório de crédito do site da Equifax foi violado por atacantes que eventualmente fugiram com números de seguridade social, nomes e uma quantidade estonteante de outros detalhes para alguns 145.5 milhões de consumidores dos EUA. Por várias horas na quarta-feira o site foi comprometido novamente, desta vez para entregar atualizações fraudulentas do Adobe Flash, que quando clicadas, infectavam os computadores dos visitantes com adware que era detectado por apenas três dos provedores de antivírus 65.

Randy Abrams, um analista de segurança independente durante o dia, visitou o local na noite de quarta-feira para contestar o que ele disse ser uma informação falsa que ele acabou de encontrar em seu relatório de crédito. Eventualmente, seu navegador abriu uma página no domínio hxxp: centerbluray.info que se parecia com isso:

Ele estava compreensivelmente incrédulo. O site que anteriormente forneceu dados pessoais para praticamente todas as pessoas nos EUA com histórico de crédito estava novamente sob o controle de invasores, dessa vez tentando enganar os visitantes da Equifax para que instalassem o crapware da Symantec. Adware.Eorezo. Sabendo uma coisa ou duas sobre as campanhas drive-by, Abrams percebeu que as chances eram pequenas de ver o download nas visitas de acompanhamento. Para fugir do radar, os invasores geralmente veiculam os downloads para apenas um número selecionado de visitantes e, depois, apenas uma vez.

Abrams tentou de qualquer maneira, e para sua surpresa, ele encontrou os falsos links de download do Flash em pelo menos três visitas subsequentes. A imagem acima deste post é a captura de tela de alta resolução que ele capturou durante uma visita. Ele também forneceu o vídeo abaixo. Ele mostra uma página Equifax redirecionando o navegador para pelo menos quatro domínios antes de finalmente abrir o download do Flash na mesma página centerbluray.info.

Equifax Flash Download

O arquivo que foi entregue quando o Abrams clicou é chamado de MediaDownloaderIron.exe. este Entrada VirusTotal mostra apenas Panda, Symantec e Webroot detectando o arquivo como adware. este análise separada de malware de Packet Security mostra que o código é altamente ofuscado e se esforça para se esconder da engenharia reversa. Malwarebytes sinalizou o site centerbluray.info como aquele que envia malware, enquanto o Eset e o Avira forneceram avisos semelhantes de malware para um dos domínios intermediários, newcyclevaults.com

Na hora em que este post estava sendo reportado e escrito, o Abrams não conseguiu reproduzir os redirecionamentos que levaram ao download malicioso. É possível que a Equifax tenha limpado seu site. Também é possível que os atacantes tenham desligado durante a noite e tenham a capacidade de retornar à vontade para visitar ainda mais infortúnios nos visitantes. Os representantes da Equifax não responderam a um e-mail que incluía um link para o vídeo e procuraram um comentário para este post.

fonte

anúncios

Deixe um comentário

GTranslate Your license is inactive or expired, please subscribe again!