Útok přes falešný web Google Analytics

5. 6. 2009

Sdílet

Podle společnosti WebSense se asi 40 000 webových serverů stalo obětí útoku SQL injection. Útočníkům se do jejich zdrojových kódů podařilo vložit JavaScript, který návštěvníky přesměruje na weby podvodníků.

Carl Leonard ze společnosti WebSense uvedl pro americký Computerworld, že kromě útoku SQL injection došlo u některých serverů zřejmě také k nahrání škodlivých kódů přes ukradené přihlašovací údaje k FTP.

Podvodníci přesměrovávají uživatele například na stránky napodobující službu Google Analytics. Kdo sem zadá přihlašovací údaje, způsobí si kompromitování svého účtu na Googlu včetně přístupu do GMailu. Útočníci přesměrovávají návštěvníky i na další weby, které jsou navrženy tak, aby přímo zkoumaly, zda uživatelé nemají neaktualizované prohlížeče. Eventuální zranitelnosti pak použijí přímo k instalaci malwaru bez nutnosti další uživatelovy aktivity. Pokud tímto způsobem počítač kompromitovat nelze, server zobrazí falešné upozornění na infekci a uživatel je vyzván, aby si stáhl trojského koně vydávaného za bezpečnostní program.

Co konkrétně útočníci provádějí s nově ovládnutými počítači není zatím jasné, předpokládá se, že se stávají součástí spamovacího botnetu a samozřejmě dochází také k pokusům o krádež citlivých údajů.

bitcoin_skoleni

Domény, které útočníci v tomto případě používají, byly zaregistrovány na Ukrajině. Spekuluje se o tom, že podvodníci mohou patřit k nechvalně známé skupině Russian Business Network. Možná je také vazba na autory červa Gumblar, který právě kradl přístupové údaje k FTP serverům. Gumblar se ovšem šířil nikoliv přes zranitelnosti webového prohlížeče, ale zneužíval chyb v softwaru od Adobe. Podrobnosti o červu Gumblar viz článek Gumblar: sofistikovaný červ z legitimních webů.