Δευτέρα, 18 Δεκέμβριος 2017, 7:06 πμ

Διαμοιρασμός του Neutrino exploit kit μέσω ιστοσελίδων Magento

Ορισμένες ιστοσελίδες που τρέχουν την πλατφόρμα ηλεκτρονικού εμπορίου Magento φαίνεται να έχουν μολυνθεί από κώδικα που ανακατευθύνει τα θύματα στο Neutrino exploit kit.

Ορισμένες  ιστοσελίδες που τρέχουν την πλατφόρμα ηλεκτρονικού εμπορίου Magento φαίνεται να έχουν μολυνθεί από κώδικα που ανακατευθύνει τα θύματα στο Neutrino exploit kit.

Δεν είναι εντελώς ξεκάθαρο πως οι ιστοσελίδες Magento έχουν μολυνθεί, αναφέρει ο Denis Sinegubko, αναλυτής malware στην Sucuri. «Σε αυτή τη φάση υποπτευόμαστε ότι πρόκειται για ευπάθεια στο Magento ή κάποια από τις επεκτάσεις τρίτων μερών, που επέτρεψε τη μόλυνση χιλιάδων ιστοσελίδων μέσα σε πολύ μικρό χρονικό διάστημα» έγραψε.

Οι ιστότοποι Magento υποχρεώνονται να «ενσωματώσουν» περιεχόμενο μέσα σε ένα iframe από ένα domain που έχει μπει στη μαύρη λίστα της Google.

Οι ιστότοποι Magento υποχρεώνονται να «ενσωματώσουν» περιεχόμενο μέσα σε ένα iframe από ένα domain που έχει μπει στη μαύρη λίστα της Google.

Σύμφωνα με το Safe Browsing service της Google, το κακόβουλο domain ευθύνεται για τη μόλυνση σχεδόν 8.000 ιστοτόπων.

Ερευνητής ασφαλείας της Malwarebytes ανακάλυψε διασύνδεση του κακόβουλου ιστοτόπου με το Neutrino exploit kit. Τα exploit kits ενσωματώνονται από τους κυβερνοεγκληματίες σε νόμιμες ιστοσελίδες. Κατά τη διάρκεια μιας συνηθισμένης επίσκεψης ενός χρήστη σε αυτές, το exploit kit αναζητά ευπάθειες στον υπολογιστή του επισκέπτη και αν εντοπιστεί κάποια, τότε ξεκινά η εκτέλεση του malware.

Οι επισκέπτες, λοιπόν, των ελεγχόμενων ιστοσελίδων, μέσω ενός iframe ανακατευθύνονται σε μια σειρά άλλων domain, μεταξύ των οποίων και στο κακόβουλο που εντοπίστηκε από τη Sucuri και τη Malwarebytes.

«Το τελικά URL φορτώνει το Neutrino exploit kit, το οποίο με τη σειρά του “πυροδοτεί” ένα Flash exploit να κατεβάσει το Andromeda / Gamarue malware» γράφει ο ερευνητής της Malwarebytes. «Οι μολυσμένοι υπολογιστές μπορούν είτε να αποτελέσουν μέρος ενός botnet, είτε να “ερευνηθούν” για να βρεθούν credentials πρόσβασης σε οικονομικής, κυρίως, φύσεως δεδομένα».

Ο Sinegubko σημειώνει ότι οι διαχειριστές  των ιστοσελίδες που τρέχουν Magento θα πρέπει να βεβαιωθούν ότι όλα τα αρχεία και οι επεκτάσεις είναι πλήρως ενημερωμένα.

«Από τη στιγμή που η ευπάθεια επιτρέπει την πρόσβαση σε μια βάση δεδομένων, οι hackers θα μπορούσαν να τη “χρησιμοποιήσουν” για να δημιουργήσουν κακόβουλους ρόλους χρηστών admin. Άρα ο έλεγχος των χρηστών και των ρόλων τους είναι επιβεβλημένος» καταλήγει.

Ορισμένες  ιστοσελίδες που τρέχουν την πλατφόρμα ηλεκτρονικού εμπορίου Magento φαίνεται να έχουν μολυνθεί από κώδικα που ανακατευθύνει τα θύματα στο Neutrino exploit kit. Δεν είναι εντελώς ξεκάθαρο πως οι ιστοσελίδες Magento έχουν μολυνθεί, αναφέρει ο Denis Sinegubko, αναλυτής malware στην Sucuri. «Σε αυτή τη φάση υποπτευόμαστε ότι πρόκειται για ευπάθεια…
Χρήσιμο
Ευανάγνωστο

User Rating: 4.9 ( 1 votes)
90

Δείτε επίσης:

Ένα εργαλείο αποκρυπτογράφησης αρχείων που έχουν μολυνθεί από το WannaCry ransomware κοινοποίησε χθες η Europol μέσω του λογαριασμού που διατηρεί ο οργανισμός στο Twitter. Η λύση ακούει στο όνομα WanaKiwi και φαίνεται ότι λειτουργεί ικανοποιητικά σε ένα μεγάλο ποσοστό περιπτώσεων.

WanaKiwi: Βρέθηκε λύση για το WannaCry ransomware

Ένα εργαλείο αποκρυπτογράφησης αρχείων που έχουν μολυνθεί από το WannaCry ransomware κοινοποίησε χθες η Europol …