Určitě jste se už někdy setkali s tím, že navštívíte legitimní internetové stránky a během pár vteřin jste přesměrování na stránky jiné, které s prvními tématicky vůbec nesouvisí. V tom lepším případě jde o reklamu na kasina, zázračné léky nebo třeba hry v prohlížeči a jsou jenom “otravné”. V horším jde o podvodné stránky se škodlivým obsahem, které se vás snaží přinutit ke stažení malware.
Obvykle se k podvržení používá některá z technik iFrame injection nebo HTTP redirection. Tento týden však naši odborníci narazili na méně obvyklou techniku, kdy stránky obsahují kód, který komunikuje s uživatelem prostřednictvím podvržených zpráv na obrazovce například o tom, že některé spuštěné skripty zpomalují prohlížeč.
Zpráva se zobrazuje „díky“ podvrženému HTML formuláři a pouze v případě, kdy uživatel navštíví stránky přes Internet Explorer. Samozřejmě nezáleží na tom, na jaké tlačítko uživatel klikne. Vždy se spustí stejný POST request, který v konečném důsledku vede k pokusu o stažení Angler exploit kitu. Podrobný popis najdete zde.
Otázkou je, proč se vlastně tvůrci malware s něčím takovým zabývají
Obvykle volí tu nejefektivnější cestu k nakažení počítače. Podle Sebastiena Duquetta z ESET týmu by mohlo jít nejen o způsob ztížení analýzy škodlivého kódu, ale i samotné detekce.
Osobně za tím také vidím prvek sociálního inženýrství, na který nezkušený uživatel aktivně reaguje.
ESET tento malware detekuje jako Win32/PSW.Papras.CX (SHA1: 7484063282050af9117605a49770ea761eb4549d).