Неизвестные хакеры скомпрометировали бразильский региональный блог по дизайну и технологиям Gizmodo. Мошенники изменили главную страницу Gizmodo с целью добавить скрипт, который перенаправлял пользователя на другой web-портал. Этот второй скомпрометированный сайт располагался в Швеции, и использовал доменное имя .se. Кибермошенники также загрузили обшивку на второй сайт, чтобы управлять сервером.
Открытие скомпрометированного сайта загружает вредоносное URL, которое содержит поддельную страницу Adobe Flash на португальском языке. Этот файл является фактически бэкдором, определенным как BKDR_GRAFTOR.GHR, который был размещен на Google Drive. Если пытаться загрузить страницу прямо сейчас, пользователь получит сообщение о том, что он достиг максимально допустимого лимита загрузок.
Нападавшие использовали уже существующий сервис для того, чтобы обманным путем заставить пользователей думать, что загруженный файл не заражен. Второй web-сайт, принадлежащий логистической фирме, был скомпрометирован аналогичным образом. Gizmodo и второй сайт были размещены на хостинге крупнейшего провайдера Бразилии UOL.
Gizmodo был уведомлен об этой угрозе и сразу устранил ее. Кроме того, Google была проинформирована о вредоносном файле, размещенном на Google Drive.
Источник: SecurityLab
|