BitDefender a descoperit un cod inserat pe o pagină web de ştiri, care ….“surprinde negativ” cititorii pasionaţi de ştirile online de ultimă oră, prin şapte tipuri diferite de malware, infectând cele mai bine protejate sisteme.
BitDefender, divizia de securitate informatică a Grupului Softwin, anunţă descoperirea unui virus JavaScript pe un cunoscut website internaţional specializat în distribuţia de ştiri, lucru care a dus la posibila infectare a calculatoarelor cititorilor. Este vorba de TCSDaily, un site american de informatii, care deţine chiar pe prima pagină un script extrem de periculos. Acesta este inserat în aplicaţia care gestionează mărimea fonturilor articolelor de pe site. Cu un click de mouse, vizitatorul descarcă instantaneu un virus. Audienţa acestui site a crescut după ce articolele sale au fost prezentate pe mai multe pagini cu trafic mare, care preiau ştiri din mai multe surse (Digg.com, Reddit.com şi altele).
Practic, toţi cei care au intrat să citească ştirile, au fost în situaţia de a se infecta cu acest virus, foarte puţine soluţii antivirus fiind la curent cu această nouă ameninţare. Aplicaţia care redimensionează automat fonturile articolelor – şi care este infectată – se află practic în toate paginile site-ului.
Codul inserat probabil de un hacker, acţionează astfel încât infectarea se petrece fără ştiinţa utilizatorului. Browserul descarcă un cod suplimentar de pe un alt site, aflat după părerea specialiştilor BitDefender în China. Virusul a fost botezat Trojan.Downloader.Small.BIB.
„Vorbim de un cod simplu de tip malware, care este însă destul de bine deghizat astfel că majoritatea programelor antivirus nu îl detectează. Acţiunea lui este următoarea: utilizatorul are browserul infectat cu un cod aparent nevinovat şi care rămâne ascuns, lucru care îl face să fie ignorat de majoritatea aplicaţiilor antivirus – însă apoi se instalează alt cod descărcat din cea de-a doua sursă şi atunci toate protecţiile devin inutile”, a apreciat Marius Tivadar, cercetător antivirus BitDefender.
După primele două faze ale infectării, procesul continuă: codul accesează un nou site chinezesc, de unde descarcă alte patru coduri malefice, un cod backdoor (botezat Backdoor.Poisonivy.M), care ar permite unui hacker să preia controlul asupra calculatorului infectat, o aplicaţie adware (numită Adware.Bho.WOX), care prezintă reclame la site-urile infectate şi apoi o aplicaţie care fură parolele utilizatorului (Trojan.Pws.OnlineGames.AUD), în eventualitatea că acesta are conturi bancare accesibile online. În fine, a patra aplicaţie este tot un Troian, Trojan.Agent.ADL. Situaţia nu se opreşte aici şi pe sistemul infectat se descarcă ceea ce s-a dovedit a fi a şaptea aplicaţie infectată de pe al patrulea website afectat, Backdoor.Hupigon.YEO.
„Încercăm să descoperim cât mai rapid toate aceste coduri malware acolo unde apar pentru a ne feri clienţii de probleme. Este ca o operaţiune de scufundare într-o zonă cu peşteri submarine, de fiecare dată când pare că s-a sfârşit apare un nou tunel care duce într-o cameră cu totul nouă”, a explicat cercetătorul BitDefender Mihai Calotă, care a avut sarcina de a analiza în detaliu activitatea acestor ameninţări informatice.
{mosloadposition user10}