seostock
06.03.2019, 21:49
Эксперты компании CyberArk (https://www.cyberark.com/threat-research-blog/opjerusalem-flashinstaller-ransomware/#_edn1) рассказали о неудачной атаке на израильских пользователей, произошедшей в минувшие выходные. По данным специалистов, злоумышленники действовали из Палестины и сопровождали свою кампанию хештегом #OpJerusalem.
2 марта 2019 года атакующие успешно «отравили» DNS популярного веб-сервиса Nagich, чьим виджетом для людей с ограниченными возможностями пользуются администраторы тысяч израильских сайтов. Атака на Nagich привела к тому, что вредоносный код злоумышленников проник на все эти ресурсы, в числе которых были крупные новостные порталы и другие популярные сайты.
В итоге сайты подверглись дефейсу с вышеупомянутым хештегом и сообщением «Иерусалим – столица Палестины», а также стали автоматически перенаправлять посетителей на загрузку файла flashplayer_install.exe (https://www.virustotal.com/#/file/d7e118a3753a132fbedd262fdf4809a76ce121f758eb6c829d 9c5de1ffab5a3b/), содержавшего шифровальщик JCry.
Однако всё пошло не так, как планировали атакующие: скачивание вредоносного файла попросту не начиналось, если версия операционной системы жертвы отличалась от «Windows». Проблема в том, что такого значения user-agent не существует, и идентификатор всегда содержит конкретный номер версии ОС, к примеру, «Windows XP» или «Windows 10». В итоге исполнение вредоносного кода ограничивалось дефейсом сайтов, но атака не продолжалась дальше.
https://xakep.ru/wp-content/uploads/2019/03/211507/Capture.png
Эксперты пишут, что атака была активна на протяжении нескольких часов, пока администрация Nagich не привела в порядок записи DNS, после чего скомпрометированные ресурсы перестали распространять вредоносный код.
https://xakep.ru/2019/03/05/opisrael-fail/
2 марта 2019 года атакующие успешно «отравили» DNS популярного веб-сервиса Nagich, чьим виджетом для людей с ограниченными возможностями пользуются администраторы тысяч израильских сайтов. Атака на Nagich привела к тому, что вредоносный код злоумышленников проник на все эти ресурсы, в числе которых были крупные новостные порталы и другие популярные сайты.
В итоге сайты подверглись дефейсу с вышеупомянутым хештегом и сообщением «Иерусалим – столица Палестины», а также стали автоматически перенаправлять посетителей на загрузку файла flashplayer_install.exe (https://www.virustotal.com/#/file/d7e118a3753a132fbedd262fdf4809a76ce121f758eb6c829d 9c5de1ffab5a3b/), содержавшего шифровальщик JCry.
Однако всё пошло не так, как планировали атакующие: скачивание вредоносного файла попросту не начиналось, если версия операционной системы жертвы отличалась от «Windows». Проблема в том, что такого значения user-agent не существует, и идентификатор всегда содержит конкретный номер версии ОС, к примеру, «Windows XP» или «Windows 10». В итоге исполнение вредоносного кода ограничивалось дефейсом сайтов, но атака не продолжалась дальше.
https://xakep.ru/wp-content/uploads/2019/03/211507/Capture.png
Эксперты пишут, что атака была активна на протяжении нескольких часов, пока администрация Nagich не привела в порядок записи DNS, после чего скомпрометированные ресурсы перестали распространять вредоносный код.
https://xakep.ru/2019/03/05/opisrael-fail/