ilustrační obrázek

Jak funguje Win32/PSW.Papras.CX

Přesměrování z internetových stránek je častým jevem. Bohužel se nepoužívá jen k „otravné“ reklamě na vše možné, ale také k šíření škodlivého kódu. 
Martin Skýpala
Total
0
Sdílení

Určitě jste se už někdy setkali s tím, že navštívíte legitimní internetové stránky a během pár vteřin jste přesměrování na stránky jiné, které s prvními tématicky vůbec nesouvisí. V tom lepším případě jde o reklamu na kasina, zázračné léky nebo třeba hry v prohlížeči a jsou jenom „otravné“. V horším jde o podvodné stránky se škodlivým obsahem, které se vás snaží přinutit ke stažení malware.

Obvykle se k podvržení používá některá z technik iFrame injection nebo HTTP redirection. Tento týden však naši odborníci narazili na méně obvyklou techniku, kdy stránky obsahují kód, který komunikuje s uživatelem prostřednictvím podvržených zpráv na obrazovce například o tom, že některé spuštěné skripty zpomalují prohlížeč.

okno IE

Zpráva se zobrazuje „díky“ podvrženému HTML formuláři a pouze v případě, kdy uživatel navštíví stránky přes Internet Explorer. Samozřejmě nezáleží na tom, na jaké tlačítko uživatel klikne. Vždy se spustí stejný POST request, který v konečném důsledku vede k pokusu o stažení Angler exploit kitu. Podrobný popis najdete zde.

script

Otázkou je, proč se vlastně tvůrci malware s něčím takovým zabývají

Obvykle volí tu nejefektivnější cestu k nakažení počítače. Podle Sebastiena Duquetta z ESET týmu by mohlo jít nejen o způsob ztížení analýzy škodlivého kódu, ale i samotné detekce.

Osobně za tím také vidím prvek sociálního inženýrství, na který nezkušený uživatel aktivně reaguje.

ESET tento malware detekuje jako Win32/PSW.Papras.CX (SHA1: 7484063282050af9117605a49770ea761eb4549d).

Novinky z magazínu Dvojklik.cz

Jednou měsíčně vám pošleme to nejbezpečnější čtení. Pohodlně. Do mailu.

Frekvence odesílání 1x měsíčně.
Snadné odhlášení jedním kliknutím.

Další informace o zpracování osobních údajů najdete v našich zásadách ochrany osobních údajů.

Mohlo by vás zajímat