Bezpečnostní novinky

V Česku se šíří vyděračský malware. Útočí na uživatele Windows, zneužíval například web CZC.CZ

Threat Intelligence Team, 1. července 2019

Za čtyři dny Avast zablokoval 72 tisíc útoků a ochránil před touto nákazou 14 tisíc uživatelů, s CZC[.]CZ spolupracoval na rychlém odstranění.

Virové laboratoře společnosti Avast od tohoto pátku detekují v Česku malware, který bez vědomí uživatele infikuje počítač vyděračským ransomwarem nebo programem pro nelegální těžbu kryptoměn či krádeže hesel. Malware se šíří prostřednictvím exploit kitu GreenFlash Sundown a zneužíval zejména reklamní agenturu napojenou na web společnosti CZC[.]CZ. S tou Avast spolupracoval na odstranění problému a situace je nyní pod kontrolou.

Zákeřný kód míří i na další adresy webových stránek po celém světě (uvádíme je níže). Vše napovídá tomu, že útočník necílil pouze na CZC[.]CZ, ale jeho terčem je prodejce online reklamy.

V ohrožení jsou ti uživatelé, kteří používají prohlížeč Internet Explorer. Pokud používají jiný prohlížeč, škodlivý kód se potichu sám ukončí. Pokud oběť používá Internet Explorer, je stažen další obsah z domény fastimage[.]site, odkud škodlivý kód dále vytvoří profil oběti a pokud si myslí, že oběť používá zastaralou verzi Internetu Exploreru, pro kterou má funkční exploit, kód stáhne a spustí. Podle našich dat jde zhruba o 10 % uživatelů. Podle dostupných informací využívá exploit kit zranitelnosti ve Flash Playeru, konkrétně CVE-2018-4878 a CVE-2018-15982.

Malware nijak nebrání uživateli v prohlížení stránek CZC[.]CZ. Pokud uživatel používá blokování reklamy, tento software zablokuje kód ještě dříve než Avast, protože adblock blokuje už samotný požadavek na HTTP podle URL (viz např. /www/delivery/* z https://easylist.to/easylist/easylist.txt), zatímco antivirus od Avastu blokuje až podle obsahu HTTP odpovědi.

null

Ukázka škodlivého kódu GreenFlash Sundown na stránkách CZC[.]CZ

Podle zprávy společnosti TrendMicro se tento škodlivý kód po internetu šíří od druhé poloviny června 2019.

Domény, na kterých jsme nalezli GreenFlash Sundown EK za poslední tři dny po celém světě:

r.czc.cz

ads.adsolut.in

ads.acb.com

topnews.si

openx.birdpix.nl

adv.arna.ir

ra.gdi.cz

ad.temusados.com.br

adserver.abanca.com

adserver.musicpublishers.nl

www.handfulhost.com

jointjedraaien.nl

ads.radiocapris.si

www.amsterdamadvertisingnetwork.nl

ads.livesportmedia.eu

ads.wwe-media.de