ilustrační obrázek

Jak funguje Win32/PSW.Papras.CX

Přesměrování z internetových stránek je častým jevem. Bohužel se nepoužívá jen k “otravné” reklamě na vše možné, ale také k šíření škodlivého kódu. 
Total
0
Sdílení

Určitě jste se už někdy setkali s tím, že navštívíte legitimní internetové stránky a během pár vteřin jste přesměrování na stránky jiné, které s prvními tématicky vůbec nesouvisí. V tom lepším případě jde o reklamu na kasina, zázračné léky nebo třeba hry v prohlížeči a jsou jenom “otravné”. V horším jde o podvodné stránky se škodlivým obsahem, které se vás snaží přinutit ke stažení malware.

Obvykle se k podvržení používá některá z technik iFrame injection nebo HTTP redirection. Tento týden však naši odborníci narazili na méně obvyklou techniku, kdy stránky obsahují kód, který komunikuje s uživatelem prostřednictvím podvržených zpráv na obrazovce například o tom, že některé spuštěné skripty zpomalují prohlížeč.

okno IE

Zpráva se zobrazuje „díky“ podvrženému HTML formuláři a pouze v případě, kdy uživatel navštíví stránky přes Internet Explorer. Samozřejmě nezáleží na tom, na jaké tlačítko uživatel klikne. Vždy se spustí stejný POST request, který v konečném důsledku vede k pokusu o stažení Angler exploit kitu. Podrobný popis najdete zde.

script

Otázkou je, proč se vlastně tvůrci malware s něčím takovým zabývají

Obvykle volí tu nejefektivnější cestu k nakažení počítače. Podle Sebastiena Duquetta z ESET týmu by mohlo jít nejen o způsob ztížení analýzy škodlivého kódu, ale i samotné detekce.

Osobně za tím také vidím prvek sociálního inženýrství, na který nezkušený uživatel aktivně reaguje.

ESET tento malware detekuje jako Win32/PSW.Papras.CX (SHA1: 7484063282050af9117605a49770ea761eb4549d).

Mohlo by vás zajímat

Pozor na falešné módy k populární hře Minecraft

Hráči populární hry Minecraft se mohli na Google Play setkat s podvodnými aplikacemi. Konkrétně šlo o 87 falešných herních módů, které je možné rozdělit do dvou kategorií – v první kategorii jde o downloader zobrazující reklamy, který ESET detekuje jako Android/TrojanDownloader.Agent.JL. Ve druhé jsou podvodné aplikace, které uživatele přesměrují na podvržené webové stránky a jsou detekovány jako Android/FakeApp.FG.
Přečíst článek