Skoči na vsebino

Javascript pozdrav iz Rusije

Google nas je preko storitve Safebrowsing obvestil o možni zlonamerni spletni strani na spletnem strežniku www2.arnes.si, kjer svoje spletne strani gostijo Arnesovi uporabniki.

Obvestilo o zlonamerni spletni strani
Obvestilo o zlonamerni spletni strani

Pregled vira strani je pokazal, da se poleg običajne HTML kode na spletni strani nahaja tudi javascript koda, ki bi lahko bila škodljiva.

Potencialno škodljiva JavaScript koda
Potencialno škodljiva JavaScript koda

Do sedaj smo že dostikrat opazili, da napadalci zlonamerno kodo vstavljajo med oznaki  <!– o –> in <!– c –>.  Zakodirana javascript koda se po zagonu v brskalniku odkodira v naslednjo obliko:

Odkodirana JavaScript koda
Odkodirana JavaScript koda

Koda na spletni strani odpre skriti okvir, v katerem poskuša naložiti spletno stran http://adswebsearchredirect. com/ads/stat.php.  Po javno dostopnih whois podatkih je bila domena adswebsearchredirect.com registrirana 3 dni nazaj, gostovana pa je na sistemu z IP naslovom 91.196.216.96, ki pripada ruskemu ponudniku storitev SpetsEnergo Ltd.

Domena je bila registrirana pri ruskemu ponudniku storitev
Domena je bila registrirana pri ruskemu ponudniku storitev

Spletni strežnik, ki gosti to stran, v času pisanja tega članka ni bil dosegljiv.

Nedosegljiv spletni strežnik
Nedosegljiv spletni strežnik

Datoteka index.html, v katero je bila vstavljena zgornja javascript koda, je bila zadnjič spremenjena danes zjutraj ob 2:56 uri. Pregled dnevniške datoteke FTP strežnika je pokazal, da se je takrat z up. imenom in geslom našega uporabnika v sistem prijavil nekdo iz IP naslova 91.196.216.96. Gre za isti IP naslov, kot gosti spletno stran adswebsearchredirect.com, kar težko pripišemo naključju. Zelo verjetno gre za zlonamerno aktivnost s strani uporabnika tega IP naslova, pri čemer niti ne poskuša zakriti svojih aktivnosti.

Nadalje smo ugotovili, da se je nekdo iz tega IP naslova v naš sistem prijavljal tudi z up. imeni in gesli še nekaterih Arnesovih uporabnikov. Vse smo obvestili o zlorabi gesla in jih pozvali, da geslo čimpreje zamenjajo. Na mejah našega omrežja smo tudi preventivno blokirali ves promet iz ruskega IP naslova. Čeprav trenutno vstavljena javascript koda ne predstavlja nevarnosti za obiskovalce spletne strani, se bo to zelo verjetno kmalu spremenilo. Kaj se bo nahajajo na tej strani ne vemo, skoraj zagotovo pa bo šlo za neko zlonamerno vsebino.

Še vedno pa ostaja odprto vprašanje, kako je nekdo lahko prišel do gesel naših uporabnikov. Možnih načinov je več, najpogostejša pa sta phishing napad, kjer vas storilec s potvorjenim elektronskim sporočilom obvesti, da morate zaradi nekega razloga vpisati ali poslati svoje uporabniško ime in geslo, ali pa okužba računalnika z zlonamernim programom, ki napadalcu pošilja zabeležena up. imena in gesla.

Preberite tudi

SI-CERT s prenovljenim spletnim mestom

Glavna vodila pri prenovi so bila: bolj jasna vsebinska struktura, enostavna navigacija za obiskovalce in hitrejša orientacija na vstopni strani. V skladu z našimi zakonsko predpisanimi nalogami smo na najvidnejše mesto postavili aktualno varnostno obvestilo.
Več

“Kripto zlorabe” Twitter računov

V sredo, 15. 7 .2020, je bila družbena platforma Twitter tarča dosedaj najbolj odmevnega kibernetskega napada.
Več

SI-CERT prejel Slovensko veliko nagrado varnosti za program Varni na internetu

SI-CERT je letos prejel Slovensko veliko nagrado varnosti za program Varni na internetu
Več