Οι ερευνητές ασφαλείας της MalwareΒytes αποκάλυψαν ένα νέο τέχνασμα που αξιοποιείται από τους εγκληματίες του κυβερνοχώρου, οι οποίοι αφού εμφυτεύσουν κακόβουλο κώδικα σε ιστοσελίδες με κενά ασφάλειας, ξεγελούν τους webmasters μέσω ειδικά επιλεγμένων domains.

Με τον τρόπο αυτόν, νομίζουν πως ο κώδικας που εμφανίστηκε μυστηριωδώς στο site τους είναι μέρος κάποιου social sharing plugin.

Για να λειτουργήσει το τέχνασμα αυτό, οι επιτιθέμενοι πρέπει πρώτα να παραβιάσουν και να αποκτήσουν πρόσβαση στην εκάστοτε ιστοσελίδα. Οι ερευνητές της Malwarebytes αναφέρουν ότι έχουν ήδη εντοπίσει σημαντικό αριθμό ιστοσελίδων Joomla και WordPress που έχουν πληγεί από τον συγκεκριμένο τύπο απάτης. Μόλις οι εισβολείς καταφέρουν να εισέλθουν σε μια ιστοσελίδα, προσθέτουν κακόβουλο κώδικα Javascript στον πηγαίο κώδικα, ο οποίος καλεί ένα JS της μορφής: «http://social-button.site/analytics.js», ενώ επιστρατεύονται και άλλα αντίστοιχα domains όπως το «socialplugin.io».

Με μια γρήγορη επιθεώρηση στον κώδικα οι διαχειριστές θα δουν πως πρόκειται για ένα απλό αρχείο JavaScript χωρίς κακόβουλη πρόθεση, που παραπέμπει απλά σε κάποιο plugin κοινωνικής δικτύωσης.

Όταν ωστόσο οι χρήστες εισέλθουν στο μολυσμένο ιστότοπο, ο κώδικας θα φορτωθεί στον browser τους και θα αντικατασταθεί με κάτι πιο επικίνδυνο. Η συγκεκριμένη κακόβουλη έκδοση του επονομαζόμενου «social sharing analytics» κώδικα, θα ανακατευθύνει τους χρήστες σε μια σειρά ενδιάμεσων σημείων, προτού καταλήξουν τελικά σε μια σελίδα που φιλοξενεί το Angler exploit kit.

Εάν οι χρήστες χρησιμοποιούν κάποια παλαιά έκδοση browser ή μη ενημερωμένα πρόσθετα του προγράμματος περιήγησης, το Angler exploit kit θα εκτελέσει κακόβουλες διεργασίες μολύνοντας περαιτέρω τις συσκευές τους με το Bedep click-fraud malware.