Ransomware i bankarski trojanac stižu preko lažnih ažuriranja browsera
Vodite računa ako vam se pojavi obaveštenje o ažuriranju browsera, u toku je prevara koja isporučuje opasne malvere!
U toku je kampanja u kojoj napadači distribuiraju ransomware i bankarski trojanac preko lažnih ažuriranja browsera. Za to koriste uglavnom kompromitovane WordPress sajtove i druge hakovane sajtove koji imaju CMS. U kampanji učestvuje na hiljade kompromitovanih sajtova, a maliciozne skripte se ubacuju sa legitimnih stranica.
Obaveštenje o ažuriranju navodno dolazi iz Update centra (u zavisnosti od browsera - Firefox, Google, Microsoft centar itd.). U obaveštenju piše da postoji kritična greška zbog zastarele verzije browsera i da je potrebno izvršiti ažuriranje što pre. Ciljaju korisnike koji su posetili neki od kompromitovanih sajtova, i na osnovu browsera koji koriste, šalju im unapred pripremljena obaveštenja (pokrivaju sve popularne browsere).
Kako bi prevarili korisnike da izvrše ažuriranje, koriste tehniku zastrašivanja, odnosno “upozoravaju” ih da mogu da izgube sačuvane podatke i poverljive informacije. Kako izgleda iskačući prozor sa obaveštenjem, možete videti na slici ispod.
Slika 1. Lažna poruka od Firefox update centra na kompromitovanom sajtu. Izvor slike: Sucuri.net.
Link za “ažuriranje” vodi na neki od ostalih kompromitovanih sajtova na kojima korisnik preuzima maliciozni exe ili zip fajl.
Proces infekcije lažnim ažuriranjem browsera
Napadači inicijalno biraju između 2 načina infekcije - ubacivanje linkova u eksternu skriptu ili ubacivanje čitavog koda skripte u hakovane stranice. Neke od eksternih skripti koje su koristili su:
hxxps://wibeee.com[.]ua/wp-content/themes/wibeee/assets/css/update.js
hxxp://kompleks-ohoroni.kiev[.]ua/wp-admin/css/colors/blue/update.js
hxxp://quoidevert[.]com/templates/shaper_newsplus/js/update.js
hxxp://quoidevert[.]com/templates/shaper_newsplus/js/update_2018_01.exe
Ovi update.js fajlovi sadrže obfusciranu skriptu sa linkom za preuzimanje fajla sa lažnim ažuriranjem. Kada žrtva klikne na link, kompromitovan sajt isporučuje zip fajl male veličine. Daljom analizom utvrđeno je da .js fajl ima 100 “space” karaktera nakon reči “components”, verovatno da bi se sakrila ekstenzija fajla. U ovom slučaju, maliciozni kod koristi Windows Script Host funkcionalnost za preuzimanje i izvršavanje eksternih fajlova, koje zatim briše. Skripta pokušava da preuzme browser.jpg fajlove sa kompromitovanih third-party sajtova. Nemojte da vas zavara naizgled benigna .jpg ekstenzija, radi se o .exe fajlu koji je u stvari ransomware.
Najnovija verzija ovog malvera postoji i za Android uređaje. U pitanju je bankarski trojanac koji se nalazi u apk fajlu:
var sAndroidUrl='hxxp://viettellamdong[.]vn/templates/jm-business-marketing/images/icons/update_2019_02.apk'
Za praćenje kampanje, hakeri su ubacili Histats skripte u sve verzije malvera. WordPress sajtove su kompromitovali ubacivanjem malicioznih skripti na dnu footer.php fajlova u aktivnoj temi.
Izvor: GB Hackers