Ars Technica a fost folosit recent pentru a servi malware din a doua etapă într-o campanie care a folosit un lanț de atac nemaivăzut până acum pentru a-și acoperi în mod inteligent urmele, au raportat marți cercetătorii de la firma de securitate Mandiant.
O imagine benignă a unei pizza a fost încărcată pe un site web terță parte și a fost apoi legată cu o adresă URL lipită în pagina „despre” a unui utilizator Ars înregistrat. Îngropat în acea adresă URL era un șir de caractere care păreau a fi aleatorii, dar erau de fapt o sarcină utilă. Campania a vizat și site-ul de partajare video Vimeo, unde a fost încărcat un videoclip benign și a fost inclus un șir rău intenționat în descrierea videoclipului. Șirul a fost generat folosind o tehnică cunoscută ca Baza 64 codificare. Base 64 convertește textul într-un format de șir ASCII imprimabil pentru a reprezenta date binare. Dispozitivele deja infectate cu malware-ul din prima etapă utilizat în campanie au preluat automat aceste șiruri și au instalat a doua etapă.
Nu se vede de obicei
„Acesta este un mod diferit și nou în care vedem abuzul care poate fi destul de greu de detectat”, a spus cercetătorul Mandiant Yash Gupta într-un interviu. „Acesta este ceva în malware pe care nu l-am văzut de obicei. Este destul de interesant pentru noi și ceva pe care am vrut să-l spunem.”
Comentarii recente