Odwiedzający stronę Malwarebytes oczekują ciekawych ofert oprogramowania antywirusowego. Mogą natomiast przypadkowo natknąć się na fałszywą kopię strony producenta i…szopa (?). A mówiąc serio – Raccoon, czyli złośliwe oprogramowanie wykradające dane oraz zestaw exploitów Fallout.

Fałszywa strona “malwarebytes-free

[.] com” zarejestrowana została w Rosji. Analizując kod źródłowy producent potwierdza, że skradziono treść z oryginalnej strony i dodano fragment kodu JavaScript, który sprawdza, z jakiej przeglądarki korzysta odwiedzający. W przypadku Internet Explorer od razu następuje przekierowanie do złośliwego adresu URL należącego do zestawu exploitów Fallout.

Co więcej, fałszywa strona reklamowana jest poprzez sieć PopCash i wyświetla się w witrynach dla dorosłych. Producent już zgłosił sieci złośliwe reklamy.

Niezależnie od tego, czy użytkownicy przybywają drogą organiczną, czy za pośrednictwem reklamy, zestaw exploitów Fallout infekuje podatne na zagrożenia komputery szkodliwym oprogramowaniem do kradzieży danych – Raccoon. Ten przeszukuje systemy w poszukiwaniu informacji takich jak dane kart kredytowych, portfeli walutowych, haseł, maili, plików cookie, informacji o systemie i danych z popularnych przeglądarek. Następnie wysyła je na serwer operatora.

Wcześniej podobna sytuacja dotknęła innego dostawcę – firmę Cloudflare. Być może ataki na producentów oprogramowania antywirusowego i anty-malware to czysta zemsta lub demonstracja sił atakujących.

Według badań, Raccoon od października ubiegłego roku zainfekował już setki tysięcy systemów Windows. Co w nim wyjątkowego? Dystrybuowany jest w modelu malware-as-a-service, oferuje angielskie i rosyjskie wsparcie 24h/dobę, agresywny marketing i łatwość obsługi. Dokładnie przyjrzeliśmy się temu zagrożeniu tutaj.

Jak się chronić? Pilnować podstawowych zasad cyber-higieny. Na bieżąco aktualizować systemy i programy oraz dwukrotnie sprawdzać tożsamość każdej witryny przed kliknięciem w reklamę lub link.

Źródło