CSIS har hen over de seneste uger monitoreret en sværm af automatiserede script injektioner som gennemføres mod sårbare webservere.
Formålet er at lokke ofre, fra en legitim webside og ind på en fupbutik, hvorfra der bl.a. tilbydes billige Nike AIR løbesko til langt under halvdelen af markedsprisen. Der er naturligvis tale om decideret svindel og man skal holde sig langt væk fra den slags tilbud, som med god grund lyder for godt til at være sandt.
Den pågældende bølge er primært rettet mod ældre ASP installationer og er tilmed sprogtilrettet. Den rammer, udover Danmark, også lande som Sverige, Tyskland, Norge, Finland og Østrig. Ved siden af ASP angribes også populære software pakker som Joomla og WordPress samt - og ikke mindst - tilknyttede plugins.
Nike AIR er blot en del af en større kampagne, hvor naive brugere skal lokkes til at købe asiatisk producerede kopivarer. Udover Nike tilbyder samme bagmænd nemlig også billige varer fra bl.a. Gucci og ECCO. Gucci kampagnen injektes på lignende måde, som Nike AIR kampagnen, og kan genkendes ved at der oprettes en underside med navnet "gucci2014.html", mens ECCO kampagnen gør brug af "ecco-sko-børn-udsalg.html"
ECCO
Et eksempel på en typisk fup butik, som er aktiv netop nu, findes herunder:
Domænet er strippet for whois oplysninger ved brug af Whoisprotection.cc og serverne er fysisk placeret i Kina:
Et udsnit over legitime danske websider, som ufrivilligt har fået indlejret de skadelige scripts eller referencer, og som dermed tvinger deres besøgende videre til svindelbutikker, er samlet herunder:
rejseplanen.dk *
maegleren.dk
mtgulve.dk
jzz.dk
copenhagen-sc.dk
fashionvictim.dk
kirkplusmaarbjerg.dk
dhic.dk
hvs-info.dk
tobiscafe.dk
markussen-is.dk
dknorthved.dk
emiliana.dk
jacobrisgaard.com
kristinas-hudpleje.dk
flytlie.dk
siforellana.dk
jamesil.dk
footflex.dk
[..]
Hos rejseplanen.dk er det en underside, der tilsyneladende ukritisk tillader kommentarer, i deres blogpost funktion. Bemærk, at der her, i modsætning til andre tilsvarende eksempler ikke er tale om live script injektion men blog posts, som naturligvis kan være slemt nok, men ikke så alvorligt som regulære script injektioner.
Udover at flytte besøgende direkte videre til fupbutikken anvendes også URL-forkortere, som f.eks. bit.ly samt simpel script obfuskering.
De domæner, som er mest aktive netop nu, og som alle er blevet blokeret i CSIS Secure DNS, omfatter eksempelvis:
bestbag-2014.com
js-jpshop.com
myjpstore.com
Domænerne oversættes bl.a. til IP adressen 64.235.47.169, hvor det nemt afsløres, at samme server er rede for massevis af fup domæner.
Et lille udsnit herunder (mellemrum indlagt af CSIS)
87 bag.net
bv bag.net
bv sbag.net
lv- bag.net
87 bagss.net
20 13-bag.net
fa ke-brand.net
ch romehearts-sale.com
sh ockmarketing.com
sa le-sshop.com
tra de-bag.com
js- jpshop.com
ba gs90bag.com
ba gfaves.com
[..]
CSIS blokerer løbende disse domæner i CSIS Secure DNS og vil generelt advare om at handle i disse butikker. Enten modtager man ingenting når man handler disse steder eller også modtager man kopivarer af lav kvalitet.
↧
CSIS Blog: Nike, ECCO & Gucci injektioner
↧