Autor: ScheRas | 26.2.2014 |
Bezpečnostní experti z Bromium Labs zjistili, že reklamní síť YouTube byla neznámými útočníky zneužita k šíření škodlivého kódu, lépe řečeno k přesměrování uživatele na škodlivé webové stránky. Počet obětí útoku, které se útočníkům podařilo reálně ohrozit není v současnosti známý, ovšem když uvážíme, že má Youtube 1 miliardu unikátních návštěvníků měsíčně, mohl by mít komplexnější útok téměř globální dopad.
Samotný útok neměl nijak zvláštní průběh. Oběť byla unesena na stránky pod kontrolou útočníka, které hostovaly Styx Exploit Kit zneužívající zranitelnost v Javě k instalaci bankovního trojanu Caphaw. Jediná zajímavost je, že malware je schopen detekovat konkrétní verzi Javy nainstalované v počítači uživatele, a na základě toho zneužít vhodné zranitelnosti.
Konkrétně mohl tedy útok vypadat nějak takto:
Servery sloužící k šíření malwaru se nacházejí v Evropě a autoři trojanu využívají pro komunikaci s C&C centrem techniky DGA, což ve zkratce znamená, že malware pravidelně generuje velké množství doménových jmen, přes které jsou pak řídící servery dostupné.
Škodlivá kampaň již byla stažena a bezpečnostní tým Google celý incident vyšetřuje. Je také dobré říci, že malware zneužíval přibližně rok staré zranitelnosti, tudíž se uživatelé s plně aktualizovaným softwarovým vybavením nemají čeho bát.