Portal Digg.com wykorzystany do dystrybucji złośliwych kodów

przez | 18/02/2009

Laboratorium Panda Security poinformowało o ataku cyberprzestępców na konta użytkowników amerykańskiego portalu Digg.com. Za ich pomocą przestępcy zamieszczają komentarze z rzekomymi linkami do filmów, w których występują sławni ludzie, m.in. Christian Bale, Megan Fox czy Jessica Simpson. Użytkownicy, próbujący obejrzeć polecone przez cyberprzestępców filmy, zostają poproszeni o pobranie kodeka. Okazuje się jednak, że jest on kopią programu adware VideoPlay.

PandaLabs, laboratorium specjalizujące się w analizie i wykrywaniu zagrożeń internetowych, donosi o cyberprzestępstwach na amerykańskim – niezwykle popularnym – społecznościowym serwisie newsowym Digg.com (www.digg.com). Działalność internetowych przestępców to kolejny przykład wykorzystywania sieci Web 2.0 do dystrybucji złośliwych kodów, w tym przypadku programu adware VideoPlay. Umieszczane przez cyberprzestępców komentarze pod wiadomościami z serwisu kierują rzekomo użytkowników do filmów z udziałem popularnych osób. W rzeczywistości internauci pobierają złośliwe oprogramowanie.

Przykłady komentarzy:

  • Christian Bale freak out dubbed with video! (Christian Bale wpada w furię widząc swoje zdubbingowane nagranie!)
  • Jessica Simpson Hotel Sex Tape (Nagranie, w którym Jessica Simpson uprawia seks w hotelu)
  • Megan Fox naked NEW SEX TAPE (Nowe nagranie z nagą Megan Fox)

Fałszywy program antywirusowy

Komentarze umieszczane na portalu Digg.com zawierają link, który rzekomo prowadzi do strony z filmem. Po jego kliknięciu użytkownik zostaje przekierowany na stronę z informacją o pobraniu odpowiedniego kodeka, który umożliwi wyświetlenie filmu. W ten sposób zostaje pobrane na komputer ofiary złośliwe oprogramowanie VideoPlay.

Aplikacja ta należy do grupy fałszywych programów antywirusowych i została stworzona w celu przeprowadzania fikcyjnych procesów skanowania komputera. Na pierwszy rzut oka działa zupełnie jak program antywirusowy, przekonując użytkownika, iż system został zainfekowany złośliwym kodem. Dodatkowo wyświetla komunikat o infekcji komputera, utrudniając pracę całego systemu. Aplikacja oferuje również opcję usunięcia wirusa przy użyciu płatnej wersji fałszywego programu antywirusowego. Celem jest oczywiście korzyść finansowa dla cyberprzestępców na sprzedaży tego typu fałszywych rozwiązań bezpieczeństwa.

Podczas pierwszej analizy laboratorium PandaLabs wykryło ponad 50 profilów użytkowników, zostawiających niebezpieczne komentarze na Digg.com, ale ich liczba ciągle rośnie.

“Wykorzystywane przez cyberprzestępców konta zostały prawdopodobnie skradzione właścicielom poprzez przejęcie haseł do ich profilów. To kolejny przykład wykorzystania zaufanych serwisów Web 2.0 do dystrybucji złośliwego oprogramowania” – wyjaśnia Maciej Sobianek, specjalista ds. bezpieczeństwa w Panda Security Polska.

Panda Security radzi użytkownikom, aby kierować się zasadą ograniczonego zaufania, przeglądając popularne dziś serwisy typu Digg.com.

Więcej informacji znaleźć można na blogu PandaLabs: http://pandalabs.pandasecurity.com/archive/Have-you-ever-heard-the-term-_2200_Rickrolling_22003F00_-Malware-distributors-have_2E002E002E00_.aspx