Hal itu membuat saya bertanya-tanya, karena memiliki deteksi seperti pasti akan memprovokasi beberapa pengguna kami untuk mengklaim positif palsu dalam avast!
Ada insiden awal pekan ini di mana sistem Google Safe Browsing bereaksi berlebihan sedikit dan membunuh domain dari penyedia iklan, menyebabkan peringatan malware pada situs besar beberapa, termasuk LA Times. Ini hanya alarm palsu, malware tidak ada didistribusikan oleh situs-situs yang terkena dampak dan itu juga menunjukkan mengapa alarm palsu dapat mendorong perilaku berisiko pengguna - jika mereka yakin bahwa mereka "tahu apa yang mereka lakukan" dan kemudian mereka juga meyakinkan bahwa itu aman untuk masuk ke situs tersebut meskipun peringatan, mereka dapat melakukannya pada kesempatan lain ketika ada serangan nyata bertujuan pada mereka.
Jadi saya pikir kita berbicara tentang hal itu, karena, seperti saya juga diperiksa, sesuai dengan daftar ini, LA Times adalah surat kabar terbesar ke-4 di Amerika Serikat, dan menurut Alexa, situs adalah 7 situs surat kabar terbesar, jadi kita harapkan banyak catatan telemetri dan juga beberapa laporan FP.
Dengan sedikit ketidakpercayaan saya menggali di telemetri kami yang dikumpulkan dari pengguna kami sayang CommunityIQ dan ya, itu ada di sana. Untungnya bagi sebagian besar pengguna, hanya satu dari low-profile website terinfeksi, sehingga jumlah diasumsikan dari orang yang terinfeksi tidak benar-benar tinggi. Tapi! Aku memeriksa statistik kemarin, maka hari-sebelum-kemarin dan hasilnya adalah agak jijik! Kami memiliki laporan berturut-turut iframe berbahaya pada sub-situs mereka dari 23 Desember dan masih bekerja di sana sementara aku sedang menulis blog ini.
Iframe menunjuk ke situs perantara ip, yang segera diarahkan ke domain hosting Lubang 2 kit mengeksploitasi Hitam. Website yang digunakan dalam serangan ini host di Amerika Serikat (perantara, paling mungkin hack) dan Belanda (colocation, domain yang digunakan dari beberapa penyedia Chili bebas, mungkin juga hack).
Ada banyak ditulis tentang kit Black Hole - dalam istilah sederhana itu adalah sekelompok modul berbahaya yang mencoba untuk mengeksploitasi kerentanan berbagai browser plugin '. Seperti kami memeriksa terakhir kali, hanya sekitar sepertiga dari basis pengguna-kami telah sepenuhnya diperbarui ini - sisanya berada dalam bahaya mengunjungi situs tersebut tanpa AV modern, yang, meskipun apa yang beberapa diri yang disebut para ahli mengatakan, bukanlah sesuatu yang Anda harus menyerah .
Sebelum posting blog ini, kami ingin memverifikasi telemetri kita karena kadang-kadang kita bisa mendapatkan data telemetri palsu - mungkin dikirim dari mesin yang sudah dibajak. Proxy, etc / hosts penulisan ulang, driver jaringan berbahaya, router bahkan hack, semua ini dapat membuat telemetri palsu menyerahkan. Setelah beberapa saat, kami cukup yakin itu tidak terjadi, tetapi sebagian besar alat otomatis masih diverifikasi situs sebagai bersih. Hanya dengan beberapa verifikasi manual kami mampu merekam sesi Fiddler yang jelas menunjukkan bagaimana infeksi berjalan.
Karena kami semakin baik balasan bersih dan juga balasan dengan iframe berbahaya dimasukkan (lihat gambar di atas), kami cukup yakin kita melihat server HTTP dengan modul berbahaya diinstal, yang mengubah file on the fly - mereka 'kembali dimodifikasi pada disk sehingga admin hanya melihat file bersih dan upload' file diverifikasi bersih 'tidak akan memperbaiki apa pun. Modul berbahaya pertama kali dijelaskan oleh unmask Parasit dan kemudian juga di blog Romang Eric - diidentifikasi sebagai Darkleech. Modul ini tidak menghubungi perintah & kontrol server untuk mendapatkan data baru iframe dari waktu ke waktu, membuat kita membuat blok jaringan yang lebih baru dan lebih baru.
Kami juga mencoba hari ini untuk menghubungi departemen TI dari Tribune (pemilik LA Times), tetapi belum berhasil. Mencari kontak manusia nyata pada situs web komersial hari ini tampaknya seperti tugas bagi orang-orang dengan lebih banyak waktu di tangan mereka daripada kami.
Kata terakhir - seperti biasa kami menjamin Anda bahwa kami memiliki pengguna kami dilindungi - kami memiliki deteksi pada situs web yang terinfeksi, semua situs perantara dan juga situs tujuan diblokir, kami juga mendeteksi berbagai bagian dari kit mengeksploitasi dan juga binari adalah dideteksi atau diblokir oleh teknologi Autosandbox kami.
