Varnostna obvestila / 3. 4. 2008

SI-CERT 2008-01 / Sporočila webcrimeresearch.com

Zadnja sprememba: 4. 4. 2008

Opis

V četrtek, 3. 4. 2008, smo prejeli več obvestil o sporočilu iz naslova erisks@webcrimeresearch.com. Sporočilo navaja, da naj bi prejemnik možna žrtev kraje osebnih podatkov. V sporočilu je naveden spletni naslov, preko katerega naj bi prejemnik preveril, ali je prišlo do oškodovanja ali ne.

Spletna stran vsebuje povezavo na zlonamerno Javascript kodo, ki lahko preko ranljivosti v spletnem brskalniku ogrozi varnost vašega računalnika in podatkov na njem.

Spletno mesto je ruski ponudnik po posredovanju SI-CERT dne 3. 4. 2008 okoli 15:00 po srednjeevropskem času umaknil. Spletno mesto pa lahko napadalec prenese k drugemu ponudniku, zato to ni nujno trajna rešitev.

Rešitev

Vsem uporabnikom svetujemo, da sporočilo takoj izbrišejo. Ustrezni preventivni ukrepi pomembno zmanjšajo možnost zlorabe tega tipa. Ponudnikom svetujemo blokado elektronske pošte iz domene webcrimeresearch.com in blokado prometa do IP naslova 77.221.133.216, od koder se skuša podtakniti zlonamerna koda.

Znani podatki o primeru

Domnevni naslov nosilca domene je v Ukrajini, IP naslov z zlonamerno kodo 77.221.133.216 pa se nahaja v Rusiji. Elektronska sporočila se pošiljajo iz večjega števila virov, kar kaže na uporabo mreže okuženih računalnikov, ki jih napadalec nadzoruje od daleč.

Domena webcrimeresearch.com je bila registrirana 1. 4. 2008:

Domain name:             WEBCRIMERESEARCH.COM
Name Server:             ns1.1gb.ru
Name Server:             ns2.1gb.ru
Creation Date:           2008.04.01
Expiration Date:         2009.04.01

Status:                  DELEGATED

Registrant ID:           OPLHPJQ-RU
Registrant Name:         Ruslan D Shiverduk
Registrant Organization: Ruslan D Shiverduk
Registrant Street1:      Kreshatik,14-121
Registrant City:         Kiev
Registrant State:        Kiev
Registrant Postal Code:  13529
Registrant Country:      UA

Spletna stran, ki se navaja v sporočilu vsebuje IFRAME povezavo na drugo spletno mesto na strežniku z IP naslovom 77.221.133.216, vsebina, ki jo ta vrne, pa je odvisna od tega, kateri brskalnik uporabljamo. V primeru, da uporabljamo Internet Explorer, vrne Javascript kodo, ki je namenoma neberljiva (obfuscated code).

Preberite tudi

Varnostna obvestila / 17. 10. 2025

SI-CERT 2025-08 / F5 izpostavljenost izvorne kode

Napadalci so avgusta 2025 pridobili dolgotrajen nepooblaščen dostop do nekaterih notranjih sistemov F5, vključno z razvojnim okoljem za BIG‑IP in platformami za upravljanje inženirskega znanja. Ukradli so občutljive podatke, med njimi del izvorne kode BIG‑IP, in informacije o nerazkritih ranljivostih. Podajamo nasvete za skrbnike F5 sistemov.

Več

Varnostna obvestila / 7. 10. 2025

SI-CERT 2025-07 / Ranljivosti Cisco ASA naprav

Cisco ASA naprave (Adaptive Security Appliances), vsebujejo ranljivossti, ki se že aktivno izkoriščajo za nepooblaščen dostop do naprav in trajno prisotnost (angl. persistence) storilcev na napravah.

Več

Varnostna obvestila / 21. 7. 2025

SI-CERT 2025-06 / Kritična ranljivost Microsoft SharePoint

Microsoft je izdal navodila za ukrepanje zaradi SharePoint ranljivosti CVE-2025-53770. Gre za kritično ranljivost, ki omogoča izvedbo poljubne programske kode na daljavo (RCE, Remote Code Execution). Ranljive so samostojne (on-prem) namestitve, ranljivost pa se že izkorišča na omrežju.

Več