Hostingové společnosti směrovaly tisíce webů na malware

Je to již týden, co byli 3 holandské webhostingové společnosti (Digitalus, VDX, Webstekker) zneužity k útokům. Neznámí útočníci využili DNS k distribuci malware. DNS servery obsluhují tisíce webů, jejich kompromitací tedy útočníci získávají velmi silnou zbraň (zvlášť pokud se jedná o velmi navštěvované weby).

Útočníkům se podařilo získat přístup do DRS (Domain Registration System) národního registrátora SIDN. Pro svoje podvodné záznamy v DNS nastavili TTL na 24 hodin. Situace se však provalila již po 5 hodinách. Stalo se tak po oznámení, že velký maloobchodní prodejce Conrad.nl šíří spam. Okamžitě poté byl odstaven.

Napadené servery uživatele přesměrovaly na IP adresu 178.33.22.5. Tam na ně čekala hláška „Site Under construction“ a skrytý iframe, který prohlížeč nasměroval na URL:

http://cona.com/removal/stops-followed-forces.php

Tam na uživatele čeká (ano, v době psaní této aktuality stále) Black Hole exploit kit. Ten využívá dvou zranitelností - jedna v Adobe Readeru (PDF), druhá je blíže nespecifikovaná zranitelnost Javy. Pokud je alespoň jeden z těchto útoků úspěšný, stáhne se další malware z adresy:

http://www.champagnekopen.nl/wp-content/uploads/2013/07/tr2.jpg

Tento „obrázek“ obsahuje .exe soubor, instalující Tor klienta. Ten se následně šifrovaným kanálem připojí k IP 154.35.32.5 a 194.109.206.212, kde stahuje další soubory.

Neštěstím pro uživatele je fakt, že takovémuto napadení není schopen předcházet. Pokud navíc uvážíme, že v takovémto masovém měřítku může být použita nějaká zero-day zranitelnost, zdá se to jako zaručená výhra pro zločince.