Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
innowacyjna[.]malopolska[.]pl zainfekowana. Czytelniczka chciała się skontaktować – teraz obawia się czy nie ma malware…
O problemie poinformowała nas Kinga. Pisze tak:
Strona Małopolskiego Festiwalu Innowacji/Urzędu Województwa Małopolskiego została zhakowana. Jak mi powiedziano nie ma dostępu do maili. Pisze ponieważ byłam na tej stronie i potrzebowałam się skontaktować z organizatorem, klikając w „Kontakt” przekierowywało mnie na inną stronę. Czy mogłam w ten sposób zainstalować jakieś złośliwe oprogramowanie w przeglądarce ?
O ransomware w Urzędzie Marszałkowskim Województwa Małopolskiego pisaliśmy kilka dni temu. Osoby na informacji zapewne już przywyknęły do sytuacji: „no wie pani, nie działają maile, mieliśmy atak hackerski”.
Tutaj jednak mamy do czynienia z czymś dodatkowym (a może to niezauważony odprysk ransomware?). W każdym razie Kinga najzwyczajniej w świecie googlując Małopolski Festiwal Innowacji, trafiała na jego oficjalną stronę:
Problem w tym, że oficjalna strona była zainfekowana i przekierowywała w różne „podejrzane miejsca”. Poczynając od takiej nieco bezczelnej lewizny: „kliknij Allow żeby potwierdzić, że nie jesteś robotem” – ała!:
przez nieco bardziej klasyczne lewe bony do Biedronki:
Aż po akcje typu: „wygrałeś iPhone 11 Pro!”. Teraz wypełnij ankietę…:
Wstępna analiza pokazała infekcję całej domeny (ewentualnie serwera – trudno na 100% stwierdzić). W każdym razie nawet po wejściu na stronę główną – następowało od razu przekierowanie na lewe strony:
Zgłoszenie otrzymaliśmy o 13:30, po dalszych wyjaśnieniach temat zgłosiliśmy ok 15:30 do odpowiednich CERT-ów. W okolicach wieczornych serwis został „zdjęty”. A teraz obecnie działa poprawnie. Brawa więc za ekspresową reakcję!
Pozostaje pytanie czy użytkownicy, którzy weszli na tę stronę mogli zostać zainfekowani? Nie wykonując głębszej analizy powłamaniowej – ciężko to stwierdzić. Jednak cała kampania wygląda raczej na wyciągającą dane osobowe, spamującą (czasem również prawdziwymi) reklamami. Jeśli ktoś dodatkowo nie zainstalował wprost jakiegoś oprogramowania czy dodatku do przeglądarki – raczej powinien spać spokojnie.
Jednocześnie warto sprawdzić w ustawieniach przeglądarki czy z rozpędu nie zainstalowaliśmy jakiegoś dodatku oraz czy nie wyraziliśmy zgody na automatyczne powiadomienia.
Oczywiście zalecamy dbać o posiadanie aktualnej przeglądarki, systemu operacyjnego oraz nieinstalowanie aplikacji czy appek sugerowanych przez „podejrzane” strony czy konkursy. Jak widać warto również tego typu podejrzane zachowania stron szybko zgłaszać.
Posiadaczom aplikacji czy serwisów webowych zalecamy z kolei audyty bezpieczeństwa, często proste podatności, przez które na serwer mogą dostać się tego typu „problemy” można wykryć odpowiednio wcześnie (tj. przed udostępnieniem systemu na produkcję).
–Michał Sajdak
Do których CERT-ów trzeba to zgłaszać? Ten NASK-owy, skontaktuje się jakoś z właścicielem strony, czy tylko cyk domenę na czarną listę?
A strony z konfetti, to jakaś plaga. Ale te skrypty, to coraz lepsze robią. Otwieram taką stronę drugi raz, ale w trybie prywatnym i już nie ma żadnych ajFonów. Aż się czasem zastanawiam, czy komp jakiegoś syfu nie ma. Ale nie ma – na normalnych stronach nigdy mi nic takiego nie wyskoczyło.
Trochę to chyba nie jest w 100% jasne (od nas poszło info prewencyjnie do obu – gov (bo rządowe), ale CERT Polska okazało się że prawdopodobnie jest właścicielem sprawy).
Jeżeli to rządowa to do gov jezeli nie to do Nask. Nawet jeżeli wyślemy do nieodpowiedniego to i tak przekierują do właściwego- nie każdy musi znać przepisy ustawy ksc :)