 |
Muut verkkotunnukset myös meidän kautta
Heikosti ylläpidetyt kotireitittimet ovat verkkorikollisten kohteena - osa 2
Dridex -pankkitroijalainen leviää sähköpostin välityksellä
05 11 2015
PageFair-analytiikkapalvelun tietomurto johti haittaohjelmien levitykseen
tietoturva, haittaohjelma, tietomurtoUseat verkkosivut ovat levittäneet haittaohjelmaa PageFair-analytiikkapalvelun tietomurron seurauksena. Verkkosivujen joukossa on myös suosittuja suomalaisia sivustoja.
Verkkosivustoilla käytettävä PageFair-analytiikkapalvelu joutui tietomurron uhriksi 1.11.2015 kello 01:52 suomen aikaa. Hyökkääjät vaihtoivat palvelun asiakkaiden verkkosivuille tarjoaman Javascript-ohjelmakoodin haittaohjelmaa levittävään koodiin. Haitallinen ohjelmakoodi tarjosi kävijälle Adobe Flash Playerin päivitykseksi väitettyä haittaohjelmaa. Käyttäjän on täytynyt itse avata tarjottu adobe_flashplayer_7.exe -tiedosto. PageFair kertoo, että ongelma korjaantui 03:15 suomen aikaa.
Alma Media julkaisi tiedotteen, jonka mukaan heidän tietyissä verkkopalveluissaan on käytetty PageFair-analytiikkapalvelua.
Haitallisen ohjelmakoodin kautta ladattu haittaohjelma on Kyberturvallisuuskeskuksen tietojen mukaan NanoCore RAT, jonka avulla uhrin tietokone saadaan täysin haltuun ja sieltä voidaan varastaa tietoja, kuten käyttäjätunnuksia ja salasanoja. Haittaohjelman käyttämä komentopalvelin on alotpro2.dynu.com ja sen IP-osoite on 45.35.34.148. Haittaohjelma käyttää kommunikointiin TCP porttia 9994. Useimmat antivirustuotteet tunnistavat tämän haittaohjelman.
Verkkosivut käyttävät usein kolmannen osapuolen tarjoamia palveluita, jotka lisäävät sivuille sisältöä, mukaan lukien Javascript-koodia, joka haetaan kolmansilta osapuolilta. Kun kävijä vierailee tällaisella verkkosivuilla, ladataan sivun sisältö usealta eri palvelimelta ja palveluntarjoajalta. Tällöin verkkosivun tietoturva on riippuvainen myös kolmansien osapuolien tietoturvasta.
- http://blog.pagefair.com/2015/halloween-security-breach/
- https://labsblog.f-secure.com/2015/11/02/halloween-rat-nanocore-served-via-pagefair-service/
- http://avain.etuovi.com/tiedote.html
Päivityshistoria
- 03.11.2015 klo 09:42Julkaistu
Tietoturvatiedotteet
- SolarWinds Orion Platformin takaovi mahdollisti vakoilun ja tietomurtoja
- Kalastelusivujen anatomiaa – Box-tiedostonjakopalvelua jäljittelevä kampanja
- Emotet-haittaohjelmaa levitetään aktiivisesti Suomessa
E-Karjalan ICT-Palvelut.net Oy
Markku Järvinen 050 305 9931
markku.jarvinen(AT)ict-palvelut.net
markku.jarvinen(AT)ict-palvelut.net
Käytämme evästeitä. Lisätiedot. Tarkempi selvitys Traficomin jutusta tai täältä.