IT-kriminelle har igangsat endnu en ondsindet kampagne hvor vilkårlige modtagere skal lokkes til at klikke på et medfølgende link. Den pågældende kampagne ser ud til at være en invitation fra det sociale netværk Linkedin men peger istedet på en kompromitteret webside som automatisk flyttter ofret videre til en dedikeret drive-by server som udnytter svagheder i Java JRE, Flash, Adobe Reader og Internet Explorer.
Den uønskede e-mail kan ses herunder:
Et klik på et af flere links som er inkluderet i e-mailen flytter ofret videre til en af flere kompromitterede webservere. Herefter flyttes trafikken videre til (mellemrum indlagt af CSIS)
http://173.2 37.198.42/closest/i9jfuhioejskveohnuojfir.php
Exploitkittet, som anvendes til at tvangsfodre ofrets maskine med ondsindet kode, gennemfører i første fase en række browser og plugin checks. Dette for at afgøre hvilke exploits som skal affyres. Den vurderer i den forbindelse også hvilket OS ofret anvender:
["Win", 1, "Mac", 2, "Linux", 3, "FreeBSD", 4, "iPhone", 21.1, "iPod", 21.2,
"iPad", 21.3, "Win." + "*CE", 22.1, "Win.*Mobile", 22.2, "Pockets*PC", 22.3"
Afhængig af om ofret anvender en sårbar komponent, OS eller ej, flyttes trafikken til en webside som reklamerer for tvivlsomme medicinal produkter (mellemrum indlagt af CSIS):
http://doctor wsni.ru.
Det var ikke muligt at downloade en initielle payload da den binære kode allerede var blevet fjernet.
Vi har natrurligvis allerede blokeret disse domæner i CSIS Secure DNS og alle de sårbarheder som forsøges anvendt bliver allerede automatisk patchet af Heimdal Security Agent.
↧
CSIS Blog: Invitation til Linkedin peger på drive-by side
↧