Enigma Enigma

Tuxy

2020-06-02 19:44:45 eye-2 2484   — comment 0

Вірус через рекламу захисту

Так, тут здається новий разводняк поліз, будьте обережні!

Побачив рекламу у стрічці Facebook.



Ну на "срібну кулю" не зовсім схоже, але щось мене в цій рекламі насторожило, чи то сервіс lpages.co на якому розміщено посилання, чи то ботосторінка, що є автором рекламного матеріалу, чи рубрикатор сторінки "Дизайн та мода", хтозна.. отже досліджую!

Дісклеймер: ніколи не повторюйте за мною!

Тож я пішов по лінку.

Ше раз: я знаю що роблю та як це робити безпечно! Ніколи не повторюйте за мною, якщо ви не спеціалізуєтесь на питаннях кібербезпеки!

Отже перевіряю лінк на вірустотал, результат - чисто. Ок, завантажую сторінку wget-ом. Дивлюсь зміст, 86Кб файлу. Обфускований javascript що викликає додаткові ресурси (/serve-leadbox/xpDir23uWeweRRkvQ9VEML/ - напевно маркер, але навіщо?), отже переконавшись, що напряму в мою ОС ніяких шкідливих скриптів не завантажується, відкриваю сторінку.

УВАГА: Те, що в моїй ОС нічого не викликається додатково не означає, що в інших ОС та в інших браузераз сервер не підсуне кастимізований скрипт!

Докумен з форматуванням, що точно можна було розмістити менш ніж в 1-2х кілобайтах, але це вже мій перфекціонізм, тож ігноруйте.

Зміст абсолютно ідіотський! Починаючи з опису подій 27 червня, вектору атаки, що відбулась у цей день три роки тому, завершуючи назвою вірусу та згадкою про метод нейтралізації вірусу.

Насправді, всі додаткові файли, що завантажуються з різних ресурсів стосуються форматування та відслідковування, що притаманно Google.

В фіналі, все що на цій сторінці можна знайти - це форму вводу email адреси! Все! Два інші лінка ведуть на заглушку # та на сторінку 404.

Отже на мою думку, це інструмент розвідки, попереднього збору email адрес, для подальшого розвитку атаки. Звісно додаткові скрипти можуть бути завантажені для відмінних від моїх операційних систем та браузерів.

Що цікаво, в коментарях ця теорія підтверджується:

"Vlad Bezmaly Установите. ЧТО? КТО ПРОИЗВОДИТЕЛЬ? Где тесты? Кто проверял? Короче - ставьте то, не знаю что. Вариант - мошенническое ПО не исключен"

отже на певній ОС сайт пропонує щось завантажити та встановити! Це стане предметом окремого дослідження, а завершити я хочу іншим коментарем, що створений ботом (вірогідність 70%):

"Миха Лёвочкин . Да кому из хакеров я нужен? Какой у хакера может быть интерес ко мне? "Хакнуть" меня очень просто, это чести ему не прибавит. Ни каких-то тайн, ни денег в моём ноутбуке он не найдёт. Так что..."

Це думка, просто вірусом поширена в головах мільйонів користувачів, отже я наголошував та ще раз наголошую, так саме ВИ є метою злочинців! Навіть якщо ви думаєте, що у вас нічого немає та вам нічого приховувати! Злочинці мають десятки варіанті як використати саме вас! Відкриють рахунок, заведуть на нього кредитний ліміт та ще у ваших друзів у чатику понапросять в борг від вашого імені! Або захостять у вас скрипти для атаки на якусь держ.структуру чи банк, і ви будете довго пояснювати, що це не ви DDoSили, що не ви гроші з вкрадених карток на своєму рахунку акумулювали та переводили на інші рахунки, щоб зховати сліди, що це не ви ламали банківський сервіс і т.і.

Тож не живіть в міфах, що ви нікому не потрібні!

Stay safe!

Підписуйтесь на наш Telegram канал Enigma