Mistrzostwa Euro 2012 stały się kolejnym narzędziem w rękach cyberprzestępców. Międzynarodowe święto futbolu służyło im jako przynęta, mająca skłonić internautów do odwiedzenia złośliwych stron internetowych. Specjaliści z firmy Trend Micro zdemaskowali szereg fałszywych witryn tego typu. Znalazły się wśród nich m.in. strony www linkujące do fałszywych ankiet oraz zbierające dane o użytkownikach, a także strona podszywająca się pod oficjalną domenę UEFA EURO 2012™.
Jedna domena, wiele zagrożeń
Analizując działalność cyberprzestępców związaną z Euro 2012, eksperci z Trend Micro zidentyfikowali stronę {BLOCKED}uro2012.com. Witryna podszywała się pod oficjalną stronę http://www.uefa.com/uefaeuro/. Po przeskanowaniu okazało się, że na stronie znajdowało się kilka złośliwych programów, między innymi TROJ_FAKEAV.HUU w wersji FAKEAV. Po uruchomieniu wyświetlał on ekran imitujący wynik skanowania zainfekowanego komputera. Celem programu jest nakłonienie użytkownika do instalacji fałszywego programu antywirusowego oraz zakupu i aktywacji jego pełnej wersji.
|
|
| Rys 1. Fałszywy wynik „skanowania” wyświetlany przez TROJ_FAKEAV.HUU |
Strona aktywująca FAKEAV to w rzeczywistości narzędzie do phishingu – ataków polegających na wyłudzaniu od użytkowników ich poufnych danych. Okazuje się również, że TROJ_FAKEAV.HUU zawiesza przeglądarki Internet Explorer, Mozilla Firefox i Google Chrome.
|
|
| Rys 2. Strona do phishingu TROJ_FAKEAV.HUU |
Na tej samej stronie znajduje się również plik TROJ_LOADR.BGV, który łączy się z trzema adresami URL i ściąga program TSPY_ZBOT.JMO w wersji ZBOT. Ten rodzaj złośliwego oprogramowania wyłudza dane dotyczące internetowych kont bankowych. Więcej informacji na temat odmian ZBOT/ZeuS można znaleźć w raporcie przygotowanym przez Trend Micro – Zeus: A Persistent Criminal Enterprise (http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp_zeus-persistent-criminal-enterprise.pdf).
Złośliwe pozycjonowanie
Cyberprzestępcy wykorzystali także popularność meczu reprezentacji Czech i Portugalii z 21 czerwca do oszustwa polegającego na pozycjonowaniu złośliwej strony www – tzw. Blackhat Search Engine Optimization (BHSEO).
|
|
| Rys. 3 Wyniki wyszukiwania konkretnej frazy |
Po wpisaniu w wyszukiwarce ciągu słów „oglądaj na żywo Portugalia Czechy” (Watch Portugal vs Czech Republic match live), wśród najwyżej pozycjonowanych wyników pojawiała się złośliwa strona internetowa. Po kliknięciu, zamiast na stronę z transmisją meczu, użytkownik zostawał przekierowany na stronę z ofertą wideo. Po akceptacji takiej propozycji przez użytkownika, już bez jego wiedzy, dochodziło do połączeń z powiązanymi stronami, które śledziły jego lokalizację i adres IP. W ten sposób oszuści mogli zarabiać, używając tych danych jako wejść na strony z reklamami.
|
|
| Rys. 4 Strona oferująca „darmową” transmisję meczu |
Kolejny, podobny atak przeprowadzono przy okazji meczu Anglia – Włochy. Strona {BLOCKED}glandvsitalylivestreameuro2012online.com przekierowywała użytkowników pod adres: http://www.{BLOCKED}og.com/2012/06/england-vs-italy-live-stream/, który rzekomo miał oferować dostęp do transmisji meczu na żywo. W rzeczywistości użytkownik trafiał jedynie na stronę z fałszywą ankietą, która z kolei prowadziła do powiązanych stron zbierających dane o wejściach na strony reklamowe.
Fałszywa aplikacja dla Google Chrome oraz clickjacking na Facebooku
Specjaliści z Trend Micro natknęli się również na fałszywą aplikację w Chrome Web Store. Po instalacji i uruchomieniu aplikacji, następowało przekierowanie na złośliwą stronę http://www.{BLOCKED}linetv.biz/livesports.php, która prowadziła do kolejnych stron z trackerami.
|
|
| Rys. 5 Złośliwa aplikacja Euro 2012 na stronie Chrome Web Store |
Fala cyberataków nie ominęła również osób korzystających z Facebooka. Na najpopularniejszym portalu społecznościowym zaobserwowano szereg postów rzekomo prowadzących na strony oferujące transmisję meczu. Jednak, podobnie jak w przypadku złośliwej aplikacji dla przeglądarki, również i te strony przekierowywały użytkowników dalej, umożliwiając oszustom wykorzystanie odwiedzin do zarabiania pieniędzy na reklamach.
|
|
| Rys. 6 Post na Facebooku prowadzący do stron z ad trackerami |
Klienci Trend Micro są już chronieni przed wymienionymi zagrożeniami dzięki usłudze Smart Protection Network™, która blokuje szkodliwe adresy URL oraz wykrywa złośliwe oprogramowanie na stronach internetowych. Wykorzystywanie przez cyberoszustów imprez sportowych – takich jak Euro 2012 – jako wabika, to popularny zabieg socjotechniczny. ◊