Skoči na vsebino
Varnostna obvestila /

SI-CERT 2008-01 / Sporočila webcrimeresearch.com

Zadnja sprememba: 4. 4. 2008

Opis

V četrtek, 3. 4. 2008, smo prejeli več obvestil o sporočilu iz naslova erisks@webcrimeresearch.com. Sporočilo navaja, da naj bi prejemnik možna žrtev kraje osebnih podatkov. V sporočilu je naveden spletni naslov, preko katerega naj bi prejemnik preveril, ali je prišlo do oškodovanja ali ne.

Spletna stran vsebuje povezavo na zlonamerno Javascript kodo, ki lahko preko ranljivosti v spletnem brskalniku ogrozi varnost vašega računalnika in podatkov na njem.

Spletno mesto je ruski ponudnik po posredovanju SI-CERT dne 3. 4. 2008 okoli 15:00 po srednjeevropskem času umaknil. Spletno mesto pa lahko napadalec prenese k drugemu ponudniku, zato to ni nujno trajna rešitev.

primer sporočila
Primer sporočila

Rešitev

Vsem uporabnikom svetujemo, da sporočilo takoj izbrišejo. Ustrezni preventivni ukrepi pomembno zmanjšajo možnost zlorabe tega tipa. Ponudnikom svetujemo blokado elektronske pošte iz domene webcrimeresearch.com in blokado prometa do IP naslova 77.221.133.216, od koder se skuša podtakniti zlonamerna koda.

Znani podatki o primeru

Domnevni naslov nosilca domene je v Ukrajini, IP naslov z zlonamerno kodo 77.221.133.216 pa se nahaja v Rusiji. Elektronska sporočila se pošiljajo iz večjega števila virov, kar kaže na uporabo mreže okuženih računalnikov, ki jih napadalec nadzoruje od daleč.

Domena webcrimeresearch.com je bila registrirana 1. 4. 2008:

Domain name:             WEBCRIMERESEARCH.COM
Name Server:             ns1.1gb.ru
Name Server:             ns2.1gb.ru
Creation Date:           2008.04.01
Expiration Date:         2009.04.01

Status:                  DELEGATED

Registrant ID:           OPLHPJQ-RU
Registrant Name:         Ruslan D Shiverduk
Registrant Organization: Ruslan D Shiverduk
Registrant Street1:      Kreshatik,14-121
Registrant City:         Kiev
Registrant State:        Kiev
Registrant Postal Code:  13529
Registrant Country:      UA

Spletna stran, ki se navaja v sporočilu vsebuje IFRAME povezavo na drugo spletno mesto na strežniku z IP naslovom 77.221.133.216, vsebina, ki jo ta vrne, pa je odvisna od tega, kateri brskalnik uporabljamo. V primeru, da uporabljamo Internet Explorer, vrne Javascript kodo, ki je namenoma neberljiva (obfuscated code).

Preberite tudi

Varnostna obvestila /

SI-CERT 2024-04 / Kritična ranljivost v PAN-OS

Kritična ranljivost CVE-2024-3400 sistema PAN-OS omogoča oddaljeno izvajanje poljubne kode s pravicami root uporabnika.
Več
Varnostna obvestila /

SI-CERT 2024-03 / Kraje sredstev iz mobilnih bank preko okužbe z virusom Anatsa

Zlonamerne aplikacije, ki so bile na voljo v Google Play trgovini, omogočajo krajo sredstev iz mobilnih bank.
Več
Varnostna obvestila /

SI-CERT 2024-02 / Kritične ranljivosti v FortiOS

Fortinet je 8.2.2024 izdal obvestili o dveh kritičnih ranljivostih CVE-2024-21762 in CVE-2024-23113 sistema FortiOS sslvpnd in fgfmd.
Več