Yeni tespit edilen bir SQL injection saldırısı çeşitli sitelerden kötü amaçlı kod toplayan görünmez bir iframe ile yaklaşık olarak 300,000 web sayfasını etkiledi.
Kötü amaçlı kod Adobe Flash, Internet Explorer ve bazı diğer uygulamaların güvenlik açığı bulunan sürümlerini tarıyor ve sonrasında online bankacılık bilgilerini çalma amaçlı programı sisteme kuruyor.
Bulaşma
Enjekte edilen iframe <script src=hxxp://318x.com> , 318x.com/a.htm’e yeni bir iframe yaratan bir script çalıştırıyor. Bu iframe (a.htm) 2 şey yapıyor:
1. aa1100.2288.org/htmlasp/dasp/alt.html adresinden 2. bir iframe yüklüyor.
2. Takip için js.tongji.linezing.com/1358779/tongji.js scriptini yüklüyor.
aa1100.2288.org/htmlasp/dasp/alt.html frame’i:
* aa1100.2288.org/htmlasp/dasp/share.html adresini 3. bir iframe e yüklüyor
* yukarıdakine benzer fakat farklı numarada bir script yüklüyor js.tongji.linezing.com/1364067/tongji.js
* Eğer script çalıştırma kapalıysa <noscript> , bir resim kaynağı img.tongji.linezing.com/1364067/tongji.gif ile www.linezing.com a yönlendiren bir href bulunduruyor.
share.html browser tipini tespit ediyor ve aynı klasörde bulunan içeriği anlamsız, okunması zorlaştırılmış hale getirilmiş (obfuscated) çeşitli script dosyalarına işaret eden iframe ler yüklüyor. MDAC, OWC10 ve Adobe Flash’in çeşitli sürümleri kontrol ediliyor. Sonuçlara göre aşağıdaki exploit’lerden birini uyguluyor:
Gözlemlenen exploit’ler:
* Adobe Flash oynatıcısındaki Integer taşması açığı (CVE-2007-0071)
* MDAC ADODB.Connection ActiveX açığı (MS07-009)
* Microsoft Office web bileşenleri açıkları (MS09-043)
* Microsoft video Active açığı (MS09-032)
* Internet Explorer sıfırlanmamış hafıza boulması açığı (MS09-002)
Başarılı exploit sonucu hxxp://windowssp.7766.org/down/down.css dosyası indirilip çalıştırılıyor. down.css aslında Backdoor.Win32.Buzus ailesinden bir truva varyantı olan Win32 çalıştırılabilir dosyası.
Ref: sans.org
Ref: http://www.net-security.org/secworld.php?id=8604
Ref: http://www.theregister.co.uk/2009/12/10/mass_web_attack/
About the author /
Mustafa Kaya
Threatpost | The first stop for security news
- Vermont Librarian Wins Small-Claims Suit Against Equifax 15 Haziran 2018In a David-and-Goliath moment, the 49-year-old librarian has won satisfaction in the wake of its head-spinningly massive 2017 data breach.
- U.S. Intelligence Cautions World Cup Travelers on Mobile Use 14 Haziran 2018World Cup travelers should leave their mobile phones, laptops and tablets behind.
- Malicious Docker Containers Earn Cryptomining Criminals $90K 13 Haziran 2018Researchers said over a dozen malicious docker images available on Docker Hub allowed hackers to earn $90,000 in cryptojacking profits.
- Two Bugs in WordPress Tooltipy Plugin Patched 13 Haziran 2018The bugs include a reflected cross-site scripting glitch and a cross-site request forgery vulnerability.
- Banco de Chile Wiper Attack Just a Cover for $10M SWIFT Heist 13 Haziran 2018The wiper malware affecting 9,000 workstations and 500 servers inside Chile’s largest financial institution turns out to have been a distraction.
- Dixons Carphone Cyberattack Targets 5.9M Bank Cards 13 Haziran 2018Dixons Carphone said it discovered a massive cyberattack on its processing systems that targeted millions of payment cards and personal data records.
Leave a reply