This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

Взломанный Go Daddy сайтов заражения пользователей с вымогателей

Filed Under: Malware, Ransomware, Security threats, SophosLabs

Go Daddy Пользователи получают инфицированные вымогателей благодаря преступникам удается взломать DNS-записей Go Daddy сайтов, размещенных.

Это не хорошая новость для крупнейшего регистратора доменных имен в мире, особенно так скоро после недавней атаки отказа в обслуживании .

Чтобы понять, как работают эти нападения, короткий учебник по DNS не требуется.

В двух словах, DNS представляет собой систему, где компьютеры в сети (Интернет) может ссылаться понятное имя. Эти имена известны как имена, а DNS преобразует их в так называемый IP-адрес.

Ключевой особенностью DNS является то, что изменения могут быть сделаны и применяются очень быстро, позволяя ресурсов, которые будут перемещать между машинами / сети / мест без ущерба для конечных пользователей. Имена остаются постоянными, и DNS обрабатывает любые изменения в IP-адрес, что и движение ресурсов.

В нынешней серии нападений, преступники эксплуатируют DNS путем взлома DNS-записей сайтов, добавление одного или более дополнительных поддоменов с соответствующей записи DNS (записи) ссылка вредоносных адресов IP. Законными имя хоста в законную адрес IP, но дополнительный суб-доменов решимости изгоев серверов.

Это позволяет злоумышленникам использовать законные вид URL-адресов в своих атаках, которые могут помочь избежать безопасности, фильтрации и обманным путем заставить пользователей думать содержание должно быть безопасным.

В некоторых случаях пользователи имели несколько поддоменов добавил, указывая на одну или несколько вредоносных адресов IP.

owner.[redacted].com
move.[redacted].com
mouth.[redacted].com
much.[redacted].com
muscle.[redacted].info
music.[redacted].mobi

Изгоев серверы работают подвиг комплект, называющая себя 'Cool EK.

Как отметил на прошлой неделе , это на самом деле очень похожи на черных дыр использовать комплект .

Русского происхождения комплекта видно из страницы входа в админ-панели.

Пользователи удара вредоносного сайта удар с различным вредоносным файлам, используя несколько уязвимостей, для того, чтобы заразить их вымогателей.

  • змея. [УДАЛЕНО] .info / R / L / конечно-devices.php (использование целевых страниц, Mal / ExpJS-AV )
  • змея. [УДАЛЕНО] .info/r/32size_font.eot (CVE-2011-3402, Troj / DexFont- )
  • змея. [УДАЛЕНО] .info / г / СМИ / file.jar ( Mal / JavaGen-E )
  • змея. [УДАЛЕНО] .info / г / f.php? = 1 & е = 0 и F = 0 (вымогателей полезной нагрузки, Troj / Ransom-км)

После запуска вымогателей отображает знакомый страницу оплаты, с содержимым, которое варьируется в зависимости от страны жертвы.

Вот британские пример, который использует имя Полиция Центрального E-Crime штуку:

А вот тип блокировки страницы вы увидите, если вы живете, скажем, в Болгарии:

Обратите внимание на использование анимированных GIF в этом замке страницу, чтобы имитировать видео с веб-камеры пользователя! Такое внимание к деталям, то, что помогает убедить многих пользователей, что предупреждение является законным.

На момент написания статьи, важным вопросом остается без ответа. Сколько было нападавших удалось взломать эти Go Daddy DNS записей?

Одной из вероятных причин находится под угрозой учетные данные пользователя (украденные или слабые пароли). Для подтверждения этого я предложил один из пострадавших веб-мастеров проверить его исторической деятельности входа в систему. К сожалению, это не похоже, чтобы они были легко возможной для пользователей. Кроме того, ответ от Go Daddy не предлагает помощь, а также.

Благодарим Вас за обращение Online Support о вашем счете. Обратите внимание, у нас есть безопасность устройств и протоколов, чтобы защитить нашу сеть и инфраструктура. Как уже говорилось ранее, мы не можем выпустить информацию о счете логины или деятельности. Если вы чувствуете, что кто-то вошли в свой ​​аккаунт, вы лучшая защита для изменения пароля. Пожалуйста, см. наш предыдущий ответ инструкции о том, как это сделать.

Вздох. Предоставление пользователям возможности просмотра исторической деятельности входа является очень простой способ помочь обнаружить вредоносную активность рано. Будем надеяться, Go Daddy изменить свою позицию по этому вопросу.

Go Daddy Учитывая распространенность нападений на веб-сайты с целью распространения вредоносного ПО настало время, что связано услуг (регистраторов, хостинг-провайдеров и т.д.) уделяют должного внимания безопасности.

Пользователям не должно быть позволено использовать слабые пароли. Двухфакторная аутентификация должна быть легко доступна, если не соблюдаются.

Приложив немного предусмотрительности и рассмотрения на то, что происходит, когда ключи от царства заблудиться, вредоносной активности может быть нарушена более быстро.

Go Daddy клиентов, которые хотят, чтобы проверить они не пострадали от этих нападений должны проверить свои DNS конфигурацию в соответствии с Go Daddy странице поддержки .

Помимо связавшись некоторые из пострадавших веб-мастеров, мы связались с Go Daddy, чтобы предупредить их, чтобы эти нападения.

Благодаря веб-мастеров, кто откликнулся на мою уведомления об этих нападениях, чей вклад был очень полезным при составлении содержания для этого поста.

You might like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

About the author

Fraser is one of the Principal Virus Researchers in SophosLabs. He has been working for Sophos since 2006, and his main interest is in web related threats.