Kolejny atak na Equifax – tym razem instalowali lewego Flasha…

O głośnym ataku na Equifax słyszeli chyba już wszyscy. Ale to nie koniec, Arstechnica donosi, o kolejnej kompromitacji serwisu należącego do Equifax. Użytkownik nawigujący normalnie po equifax.com był znienacka przekierowywany na inną domenę, która prosiła o instalację Flasha. Jak się domyślacie – ten „Flash” był de facto złośliwym oprogramowaniem.

Zanim zamkniecie tego posta (czy przejdziecie do filmu poniżej), jeszcze jedna ważna informacja – odkryto, że tym samym trickiem została zainfekowana kolejna agencja gromadząca m.in. informacje o dłużnikach – TransUnion (mają dane ok 200 000 000 ludzi), która na oficjalne zapytanie odpowiedziała tak:

TransUnion is aware that our Central America website was temporarily redirecting users to download malicious software. The issue has been fixed and we are scanning our other websites. TransUnion has not identified any unauthorized access to its systems as a result of this issue.

Całą ścieżkę prowadzącą do ataku można zobaczyć na filmie:

Dokładniejszy opis całej operacji (i wskazanie jednego z winowajców – wstrzykniętego Javascriptu: hxxps://aa.econsumer.equifax.com/aad/uib/js/fireclick.js) – można znaleźć na blogu Malwarebytes.

–ms