Nadgradnja Adobe Flash Playerja z dodatkom

Dare Hriberšek

12. okt 2018 ob 21:10:48

Malware, zapakiran v nadgradnjo Adobovega Flasha ni nekaj še nevidenega, v najnovejšem primeru je novo to, da vam klik na zlobno povezavo poleg namestitve kriptominerja XMRig, dejansko nadgradi tudi Flash in s tem še nekoliko prikrije svoje namene.

Novo vrsto napada so razkrili pri Palo Alto Networks. Namestitveni program je v resnici videti kot uradna nadgradnja, najnovejšo različico Flasha med nameščanjem celo prenese z uradne Adobove strani. A ob tem namesti tudi kriptominer, ki se poveže v mining pool na xmr-eu1.nanopool.org in z rudarjenjem monera zasede praktično vso procesorsko moč prizadetega računalnika.

Medtem ko so raziskovalci iskali lažne nadgradnje flasha, so odkrili kar 113 različic datotek s predpono AdobeFlashPlayer, ki niso izhajale iz Adobovih strežnikov. Še več, nekatere med njimi so prihajale iz Amazonovega AWS. Eno od povezav so preizkusili in v resnici na prvi pogled ni bilo videti nič sumljivega. Drugačno zgodbo pa je povedalo spremljanje omrežnega prometa, saj se takoj po nadgradnji Flasha začne tudi rudarjenje.

Raziskava nemške Univerze RWTH Aachen je pred časom razkrila, da se mesečno prek brskalnikov prirudari za okoli 250.000 dolarjev monera, a vsa ta vsota se na koncu znajde v denarnicah približno desetih posameznikov. Monero je po tej raziskavi zaslužen za kar tri četrtine vseh v brskalnikih narudarjenih kriptovalut.