Protecting over 200 million PCs, Macs, & Mobiles – more than any other antivirus


30.03.2011

Čeští uživatelé v hledáčku autorů malware

Targeted web-based attacks on English speaking users are coming almost on daily basis. That’s a well known fact. But few days ago I’ve come across a localised attack, targeting Czech users, which is a good reason to write the first Czech blog post in my opinion.

Mnoho českých uživatelů internetu si myslí, že jsme tak maličká země, že by se stěží někomu vyplatilo vymýšlet na nás cílené útoky prostřednictvím škodlivého softwaru. Strojově generované phishingové útoky typu “drahoušek zákazník” jsou spíše úsměvné, takže my si dnes ukážeme něco, co by mohlo méně zkušené uživatele opravdu snadno zmást. Představte si, že nemáte žádný antivir a chcete si sehnat nějaké reference, než se rozhodnete. Pokud jste členy nějaké komunity/fóra s IT tématikou, pravděpodobně zabrousíte právě tam a porozhlédnete se. Co vás hned na první pohled zaujme? Třeba toto:

Nejlepší a zdarma? To musím mít!

Jak asi uvažuje nezkušený uživatel? Přiznejme si, že na slova “nejlepší” a “zadarmo” u nás lidé docela slyší, tak proč na některý z těch odkazů nekliknout? Je to přece na mém oblíbeném fóru (správce to nesmazal, takže je to určitě v pořádku), je to napsáno validní češtinou a slova Avast a NOD jsem slyšel od Franty v neděli v hospodě, když jsme se bavili o počítačích. A Franta tomu rozumí!

Když takto uvažující uživatel klikne na druhý odkaz, zobrazí se mu následující stránka:

podvodná stránka

Aha, vypadá stejně jako náš legitimní web (až na tu reklamu nahoře, což nezkušený uživatel zřejmě nebude považovat za varovný signál). Nejdřív jsem si myslel, že je to obyčejný URL cloaking, který zobrazuje náš web 1:1 shodně s originálem. Ale chyba lávky – zatímco bitmapy, skripty a podobný obsah ukazují absolutně na náš originální (statický) obsah, odkaz na stažení je relativní k umístění, jak je patrné z obrázku. Takže důvěřivý uživatel klikne na tlačítko stáhnout, a místo aby stahoval náš originální instalační balíček, stahuje .NETovou malware binárku z útočníkovy stránky. Ta má ikonu s naším logem, tak proč tomu nevěřit – a jdeme nadšeně instalovat. Ve skutečnosti ale dostaneme následující dáreček:

výsledky detekcí

Podle počáteční premisy jsme v situaci uživatele, který zatím žádný antivir nemá, takže není pochyb o tom, že si stažený malware nainstalujeme úspěšně. Ovšem nutno dodat, že ani majitelé většiny testovaných antivirů na VT (včetně zavedených jmen, řku-li velkých hráčů na poli antivirů) by nebyli před touto hrozbou ochráněni. Zbývá jen doporučit vysokou obezřetnost při hledání a stahování jakéhokoli software, neboť jak jsme si ukázali, je celkem snadné narazit na cílený útok i v českých internetových vodách.

Categories: Uncategorized Tags: , ,
Komentáře jsou uzavřeny.