This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

Hacked Ir sites de papai infectando usuários com ransomware

Filed Under: Malware, Ransomware, Security threats, SophosLabs

Go Daddy Usuários estão recebendo infectados com ransomware graças a criminosos gestão para cortar os registros de DNS de sites hospedados Go Daddy.

Isso não é uma boa notícia para o maior registro do mundo de nome de domínio, especialmente logo após o recente ataque de negação de serviço .

Para entender como esses ataques trabalhar, uma cartilha em curto DNS é necessária.

Em poucas palavras, o DNS fornece um sistema onde os computadores em uma rede (internet) podem ser referenciados por um nome de usuário. Estes nomes são conhecidos como nomes de hosts e DNS traduz para o que é conhecido como um endereço IP.

Uma característica fundamental do DNS é que as mudanças podem ser feitas e aplicadas muito rapidamente, permitindo que os recursos a serem movidos entre máquinas / redes / locais sem afetar os usuários finais. Os nomes de hosts permanecer constante, e DNS lida com quaisquer alterações no endereço IP como o movimento de recursos.

Nesta onda atual de ataques, os criminosos estão explorando DNS cortando os registros de DNS de sites, adicionando um ou mais subdomínios adicionais com entradas correspondentes registros DNS (A) referenciando endereços IP maliciosos. As resoluções legítimas hostname para o endereço IP legítimo, mas o agregado sub-domínios resolver a servidores desonestos.

Isso permite que os atacantes para uso legítimo de aparência URLs em seus ataques, o que pode ajudar a evitar a filtragem de segurança e enganar os usuários a pensar que o conteúdo deve ser seguro.

Em alguns casos, os usuários têm tido vários subdomínios acrescentou, apontando para um ou mais endereços IP maliciosos.

owner.[redacted].com
move.[redacted].com
mouth.[redacted].com
much.[redacted].com
muscle.[redacted].info
music.[redacted].mobi

Os servidores desonestos estão executando um kit de exploração que se autodenomina 'EK Cool'.

Como observado na semana passada , este é realmente muito semelhante ao blackhole explorar kit .

A origem russa do kit é evidente a partir da página de login do painel de administração.

Usuários acessando o site malicioso é atingido com vários arquivos maliciosos, explorando várias vulnerabilidades, a fim de infectá-los com ransomware.

  • serpente. [redigido] .info / r / l /, certamente-devices.php (explorar página de destino, Mal / ExpJS-AV )
  • serpente. [redigido] .info/r/32size_font.eot (CVE-2011-3402, Troj / DexFont-A )
  • serpente. [redigido] .info / r / media / file.jar ( Mal / JavaGen-E )
  • serpente. [redigido] .info / r / f.php? k = 1 & e = 0 & f = 0 (carga ransomware, Troj / Ransom-KM)

Uma vez executado, o ransomware exibe a página de pagamento familiar, com conteúdos que variam de acordo com o país da vítima.

Aqui está um exemplo britânico, que usa o nome da Unidade Central de Polícia E-Crime:

E aqui é o tipo de página de bloqueio que iria ver se você vivesse em, digamos, Bulgária:

Note o uso de um GIF animado nesta página de bloqueio para imitar o vídeo de webcam do usuário! Este tipo de atenção aos detalhes é o que ajuda a convencer muitos usuários que a advertência é legítimo.

No momento da escrita, uma importante questão continua a ser respondida. Como foram os atacantes capazes de cortar esses Go registros DNS papai?

Uma causa provável é comprometida credenciais do usuário (senhas roubadas ou fraco). Para ajudar a confirmar isso sugeri um dos webmasters afetadas verificar sua atividade de login histórico. Infelizmente, este não parece ser prontamente possível para os usuários. Além disso, a resposta do Go Daddy não oferece ajuda também.

Obrigado por entrar em contato com suporte on-line sobre a sua conta. Por favor, note que temos dispositivos de segurança e protocolos em vigor para proteger a nossa rede e infra-estrutura. Como dito anteriormente, não podemos divulgar informações sobre os acessos às contas ou atividade. Se você sente que alguém entrou em sua conta, você melhor defesa é para alterar sua senha. Por favor, veja nossa resposta anterior para obter instruções sobre como fazer isso.

Suspiro. Permitindo aos utilizadores ver a atividade de login histórico é uma maneira muito simples de ajudar a detectar atividades maliciosas cedo. Vamos esperar Go Daddy mudar sua postura sobre o assunto.

Go Daddy Dada a prevalência de ataques contra sites para fins de distribuição de malware é hora de que os serviços associados (Registrars, hospedagem etc fornecedores) pagar a consideração adequada a segurança.

Os usuários não devem ser autorizados a utilizar senhas fracas. Autenticação de dois fatores devem estar prontamente disponíveis, se não for cumprida.

Com um pouco de planejamento e consideração ao que acontece quando as chaves do reino se perder, a atividade maliciosa pode ser interrompida mais rapidamente.

Ir clientes papai que desejem verificar que não foram afetadas por esses ataques devem verificar a sua configuração de DNS de acordo com o Go Daddy página de suporte .

Além de entrar em contato com alguns dos webmasters afetadas, temos contactado Go Daddy para alertá-los a esses ataques.

Graças aos webmasters que responderam aos meus notificações sobre esses ataques, cuja opinião foi muito útil em unir o conteúdo para este post.

You might like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

About the author

Fraser is one of the Principal Virus Researchers in SophosLabs. He has been working for Sophos since 2006, and his main interest is in web related threats.