Kolejna metoda ataku z fałszywą witryną

Z reguły w przypadkach ataków na strony internetowe, które objawiają się pojawianiem się dodatkowych treści mamy do czynienia z skryptem, który dodaje dodatkową treść albo podejrzewamy arp spoof, który podstawia nam w całości fałszywą witrynę. Technicy laboratorium AVG wykryli kolejną metodę ataku. Malware, które wykorzystuje zupełnie odmienny sposób na dodanie fałszywej treści do witryny.

Domyślny widok google.com i tuż po użyciu malware różni się od siebie.

Wygląda zupełnie jak ramka wstawiona w kod witryny google.com. Analizując źródło strony nie ma w kodzie nic niezwykłego więc to na pewno nie frame injection. Wiemy też na pewno, że Google nie zostały zhakowane i nie ma ARP spoofa w naszej testowej sieci.

Skąd więc owa ramka się wzięła? Po dogłębnej analizie wykryto, że wykorzystywany jest obiekt ‘InternetExplorer’. Czym jest zatem obiekt InternetExplorer? Jest to funkcja wstawienia instancji Internet Explorera w kod dowolnej aplikacji napisanej w Visual Basic.

Jak wspomniałem malware powstało w VB, tu macie przykład jak taki obiekt w VB wstawić:

Dim IE As SHDocVw.InternetExplorer

Set IE = CreateObject(„InternetExplorer.Application”)

Malware sprawdza wszystkie uruchomione procesy iexplore.exe i odczytuje wartość opcji ‘FullName’. Jeśli jest ‘IExplorer.exe’ malware próbuje wstawić się przed wywołanie funkcji ‘BeforeNavigate’, ’OnVisible’ lub podobnych więc jeśli IE wykona przejętą funkcję to uruchomiony zostanie kod malware.

Modyfikacja przejmowanej funkcji dotyczy sprawdzenia URL docelowego i wstawienia fałszywego. Po pierwsze sprawdzane jest czy URL jest adresem fałszywym czyli kod został już wykonany czy nowy proces ma jeszcze zamiast URL ustawiony ‘About:Blank’. Po drugie sprawdzany jest status funkcji ‘ReadyState’ żeby zweryfikować czy strona została już w całości załadowana. Po trzecie następuje przejęcie obiektu DOM (Document Object Model) i wstawienie kodu iframe . Z racji tego, że kod iframe jest wstawiany przez obiekt DOM, to nie widać kodu iframe w źródle witryny. W testowanym przypadku docelowy URL, do którego prowadził wstawiony jako DOM kod jest już zablokowany i niedostępny dlatego wstawiony na screenie wyżej iframe zwrócił ‘Page not found’.

Sprawdzenie URL:

Sprawdzenie stanu ReadyState:

Kod wstawianego obiektu DOM:

Póki co detekcja tego typu infekcji przez antywirusy jest niska. AVG wykrywa tego typu infekcję jako Trojan VB.AMTX

Podobał Ci się ten artykuł?

Zapisz się na listę i nie przegap nowych ciekawostek, porad i konkursów!

Potrzebjesz pomocy z komputerem?

Skorzystaj z wiedzy ekspertów i zadaj pytanie.

Sprawdź

Prowadzisz małą lub średnią firmę?

Pobierz Darmowy Ebook - Bezpieczna firma z AVG, który pomoże Ci zwiększyć bezpieczeństwo biznesu, zaoszczędzić czas oraz pieniądze.

Znajdziesz w nim ponad 30 konkretnych artykułów, dzięki którym dowiesz jak się jak szybko i łatwo, za pomocą darmowych narzędzi zadbać o takie rzeczy jak: polityka bezpiecznych haseł, backup cennych danych, blokowanie portów USB, korzystanie z pulpitu zdalnego, awaryjne odzyskiwanie danych... i wiele, wiele więcej!

Pobierz e-book teraz!

Podobał Ci się ten artykuł?

Prowadzisz małą lub średnią firmę?

O Autorze

Powiązane wpisy

Zamienniki baterii do laptopów – o czym należy pamiętać?

Jak ustawić bezpieczny i względnie anonimowy profil na Facebooku?

8 powodów dla których nowoczesna firma powinna używać telefonii VoIP i wirtualnej centrali telefonicznej