Jo 350 000 nettisivustoa toimii ansana
0
Vaarallista Mpack-haittaohjelmaa käytettiin Italiassa ja Espanjassa lähes 10 000 web-palvelimen muuttamiseksi rikollisten ansaksi. Mutta Panda kertoo, että nyt Mpackin uusi versio saastuttaa uhreja koko maailmassa yhteensä jopa 350 000 verkkosivun kautta, kun rikolliset kaupittelevat haittaohjelman uutta versiota. Myös Cert-fi varoittaa uhkaavasta tilanteesta.
Panda Softwaren viruslaboratorio on tunnistanut uuden 0.90-version haitallisesta Mpack-sovelluksesta. Pandan tutkimusten mukaan Internetissä voi tällä hetkellä olla jopa 350 000 Mpackin avulla tartuntoja levittävää verkkosivua.
1000 dollarilla Mpack, 50 kympillä hyökkäyspäivityksiä
Cert-fi kertoo, että Mpack on sovellus, jonka avulla voidaan automatisoida haittaohjelmien tartuttaminen uhrien koneille. Pandan mukaan Mpackia kaupitellaan netissä noin 1000 dollarin hintaan. Kaupanpäällisenä rikolliset tarjoavat Mpack 0.90 -version ostajille jopa vuoden ilmaisen tuen. Hakkerit, jotka haluavat päivittää vanhempaa versiota uusilla hyväksikäyttökoodeilla, voivat hankkia niitä 50-150 dollarin kappalehintaan.
Cert-fin tietoon ei ole tullut suomalaisissa verkoissa olevia sivustoja, joita olisi hyödynnetty kyseisissä hyökkäyksissä. Cert-fi muistuttaa, että hyökkäyksiltä voi suojautua pitämällä huolen käyttöjärjestelmän ja asennettujen ohjelmistojen päivityksistä. Cert-fi kertoo seuraavansa tilanteen kehittymistä tarkasti.
Haittaohjelmia uhrikoneelle aukkojen mukaan
Pandan mukaan tartuntaprosessi alkaa siten, että hakkeri lisää verkkosivuille iframe-tyyppisen viitteen, joka johtaa palvelimelle, jolle Mpack on asennettu. Kun käyttäjä käy tällaisella verkkosivulla, Mpack etsii haavoittuvuuksia tämän tietokoneelta. Jos haavoittuvuuksia löytyy, se lataa koneelle niitä vastaavat hyväksikäyttökoodit.
Mpackin saastuttamilta koneilta kerätään tietoja esimerkiksi selaimesta ja käyttöjärjestelmästä, jotka lähetetään edelleen palvelimelle. Tähän mennessä Panda on tunnistanut kaikkiaan 41 palvelinta, jotka vastaanottavat näitä tietoja. Niiden avulla nettirikolliset voivat tehdä tilastoja tartunnan saaneiden koneiden selaimista ja käyttöjärjestelmistä tai esimerkiksi saastuneiden koneiden määrästä alueittain.
Pandan mukaan hakkerit houkuttelevat käyttäjiä tartuntoja levittäville verkkosivuille useilla eri tavoilla. Roskapostien lisäksi voidaan käyttää domain-nimeä, joka on lähellä tunnettujen sivujen domainia, esimerkiksi Googlea mukaileva gookle. Tartuntoja voidaan levittää myös saastuttamalla sivuja, joilla on runsaasti kävijöitä jo entuudestaan.
