На российском новостном сайте обнаружен вирус, ворующий локальные файлы через Firefox под Windows и Linux

Mozilla выпустила внеплановое обновление 39.0.3 для браузера Firefox. В пояснительной записке сказано, что в обновлении закрыта уязвимость в просмотрщике PDF (PDF.js), позволяющая атакующей стороне незаметно для пользователя воровать локальные файлы с компьютера и загружать их на подконтрольный атакующей стороне сервер. Детали реализации эксплоита скрыты от широкой аудитории (1, 2).

Как сказано в записке, вирус был впервые обнаружен в «дикой природе» на одном из российских новостных сайтов — он распространялся через рекламу на этом сайте (не сказано, был ли это дырявый AdWords/AdSense или другая система доставки рекламы). Что это был за сайт — также не сказано (надеюсь, не Роем). Найденные файлы вирус загружал на сервер на Украине.

Вирус работает и под Windows, и под Linux. Интересно, что вирус искал на локальном диске файлы, связанные с разработкой ПО и FTP-серверами. Возможно, чтобы получить доступ к инфраструктуре компаний-разработчиков ПО:

subversion, s3browser, and Filezilla configurations files, .purple and Psi+ account information, and site configuration files from eight different popular FTP clients. On Linux the exploit goes after the usual global configuration files like /etc/passwd, and then in all the user directories it can access it looks for .bash_history, .mysql_history, .pgsql_history, .ssh configuration files and keys, configuration files for remina, Filezilla, and Psi+, text files with «pass» and «access» in the names, and any shell scripts.

Untitled-2

Лучшие комментарии

  • Контекст комментария

    cwm

    >не сказано, был ли это дырявый AdWords/AdSense или другая система доставки рекламы

    Некоторые подробности есть в комментах на HN:

    «The exploit was not on an ad network. The exploit was simply injected on every news article page through an iframe. Therefore I assume the news site was compromised. It could have been deliberately injected by the website operators, but I highly doubt it.»

    https://news.ycombinator.com/item?id=10021865

    «In this case, it was disguised as an advertisement but it was not running on an advertisement server. My adblocker did not catch it. It was injected into the page as an iframe twice. Once disg«s an ad ([IP-address]/ad.php), another time with just the IP-address of the server. «

    https://news.ycombinator.com/item?id=10021894

Добавить 4 комментария