W komunikatorze Skype pojawiają się złośliwe reklamy

13 kwietnia, 2017

Kilku użytkowników w serwisie reddit poinformowało społeczność o dziwnych reklamach pojawiających się w komunikatorze Skype. Nie są to zwykłe reklamy wyświetlane na podstawie profilu użytkownika, ale te złośliwe, zachęcające do instalacji krytycznej aktualizacji Adobe Flash Player. Skąd wzięły się w komunikatorze?

Możliwe są 3 hipotezy:

1. W wyniku przejęcia lub uzyskania przez hakera dostępu do konta dostawców reklam od firm trzecich, które dostarczają Microsoftowi kod, za którego pośrednictwem pobierane są reklamy na serwery aplikacji i wyświetlane użytkownikom Skype.

2. Złośliwe oprogramowanie, które zostało zainstalowane na komputerze ofiary, mogło wykorzystywać Skype do wysyłania osobom z listy kontaktów szkodliwych linków, które prowadziły do fałszywej strony z aktualizacją Adobe Flash Player.

3. Ofiara w ciągu kilku ostatnich dni (lub znacznie wcześniej) mogła dodać do listy kontaktów o jednego znajomego za dużo, by później dostać od niego wątpliwy link.

Z informacji, które przedstawił użytkownik, wynika, że najbardziej prawdopodobnym scenariuszem jest ten pierwszy. Zaprzecza jednak temu Microsoft – w końcu, czy Microsoft przyznałby się do nieumyślnego rozsyłania złośliwych reklam w swojej aplikacji?

Zgodnie z wątkiem, to właśnie reklama zapoczątkowała pobieranie wykonywalnego pliku FlashPlayer.HTA, a nie żadna inna infekcja.

Q3F6yMW
Na podobne reklamy skarżyło się wielu innych użytkowników aplikacji Skype w ostatnich kilkunastu dniach.

Plik HTA mają takie same uprawnienia jak zwykłe aplikacje, wykorzystują kontrolkę ActiveX, umożliwiają wybranie ikony oraz uruchomienie w oknie przeglądarki internetowej. W tym przypadku proces infekcji jest następujący:

Pobranie złośliwego pliku i uruchomieniewywołanie zaciemnionego kodu JavaScriptusunięcie pliku HTA pobranie kolejnego skryptu Java Script za pośrednictwem PowerShell (bardzo skuteczne metoda i trudna do wykrycia dla antywirusów) i jego uruchomienie.

Niektórzy eksperci wskazują na ransomware – co też mogą potwierdzać „trendy” stosowania JavaScriptu jako downloader’a wirusów szyfrujących na komputer ofiary.

Złośliwe reklamy mogą być zastąpione czymś znacznie groźniejszym. O ile pobrany plik trzeba jeszcze uruchomić, o tyle, gdyby zastosowano tutaj ataki drive-by download, wystarczyłoby, aby ofiara kliknęła i zostałaby przekierowana na złośliwą stronę, z której w wyniku wykorzystania nieznanej luki 0-day na przeglądarkę lub jeden z zainstalowanych dodatków, dokonano by automatycznego ataku, tj. instalacji oraz uruchomienia szkodliwego oprogramowania bez dodatkowej interakcji. Cały proces dostarczenia złośliwego ładunku, uruchomienia oraz infekcji przebiega automatycznie i jest „niewidoczny” dla ofiary.

O tym, jak bardzo groźne są ataki drive-by download, oraz czy współczesne pakiety zabezpieczające radzą sobie z nimi w wystarczającym stopniu, dowiecie się już za miesiąc, kiedy opublikujemy przeprowadzany w tym zakresie test kilkudziesięciu aplikacji antywirusowych dla firm i użytkowników indywidualnych.

Należy przypomnieć, że to nie pierwszy raz, kiedy Skype „dopuścił się” podobnych incydentów – wyświetlania wątpliwej jakości reklam. Podobny incydent związany z wyświetlaniem aktualizacji Flash Playera miał miejsce w 2015 roku. Natomiast w ubiegłym roku eksperci z F-Secure Labs wskazywali na problem z wyświetlanymi reklamami w komunikatorze Skype, które kierowały do strony z „Anglerem” – narzędziem typu exploit kit, który instalował ofiarom ransomware TeslaCrypt.

skype chat1
Skutkiem kliknięcia w reklamę były potrójne przekierowania z ebay.it do strony z Angler Exploit Kit.

Czy ten artykuł był pomocny?

Oceniono: 0 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
0 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Zapisz się na newsletter

Informacje o cyberbezpieczeństwie prosto na skrzynkę pocztową!

Dodatkowo otrzymasz poradnik „Jak bezpiecznie funkcjonować w cyfrowym świecie”

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]