Hlavní navigace

Skrze web CZC.cz se šířil škodlivý malware, vydírá uživatele a krade hesla

Sdílet

Jan Sedlák 1. 7. 2019

Avast začal v pátek detekovat malware, který se šířil skrze e-shop „věčné dvojky“ CZC.cz a jehož účelem je instalovat na počítače uživatelů ransomware, nástroj na těžbu kryptoměn či krást hesla. Avast uvádí, že za čtyři dny zablokoval 72 tisíc útoků a ochránil 14 tisíc uživatelů.

„Malware se šíří prostřednictvím exploit kitu GreenFlash Sundown a zneužíval zejména reklamní agenturu napojenou na web společnosti CZC.CZ. S tou Avast spolupracoval na odstranění problému a situace je nyní pod kontrolou,“ uvádí firmy.

Ohrožení se týká uživatelů, kteří ještě stále využívají prohlížeč Internet Explorer a své hraje i Flash Player. Avast popisuje, že „je stažen další obsah z domény fastimage.site, odkud škodlivý kód dále vytvoří profil oběti a pokud si myslí, že oběť používá zastaralou verzi Internetu Exploreru, pro kterou má funkční exploit, kód stáhne a spustí. Podle našich dat jde zhruba o 10 % uživatelů. Podle dostupných informací využívá exploit kit zranitelnosti ve Flash Playeru, konkrétně CVE-2018–4878 a CVE-2018–15982.“

Avast dále uvádí, že „malware nijak nebrání uživateli v prohlížení stránek CZC.CZ. Pokud uživatel používá blokování reklamy, tento software zablokuje kód ještě dříve než Avast, protože adblock blokuje už samotný požadavek na HTTP podle URL (viz např. /www/delivery/* z https://easylist.to/easy­list/easylist.txt), zatímco antivirus od Avastu blokuje až podle obsahu HTTP odpovědi.“

CZC k tomu Lupě zaslalo vlastní vyjádření: „Jednalo se o chybu, způsobenou systémem třetí strany pro nasazování reklamních bannerů, která umožnila vložit útočníkovi potenciálně škodlivý kód. Tu jsme bezprostředně po objevení opravili. Problém se mohl za určitých okolností dotknout 0,63 % uživatelů našeho e-shopu. Jedná se o tu část návštěvníků, kteří používají neaktualizovaný prohlížeč Internet Explorer. Uživatelé ostatních prohlížečů mohli zaregistrovat varovnou hlášku, nicméně žádné bezprostřední nebezpečí jim nehrozilo. Tato situace urychlila vývoj a spuštění vlastního systému, díky kterému by se podobná situace neměla v budoucnu opakovat.“

Avast také zjistil, že se škodlivý kód šíří také přes další weby. Zde je jejich seznam:

  • r.czc.cz
  • ads.adsolut.in
  • ads.acb.com
  • topnews.si
  • openx.birdpix.nl
  • adv.arna.ir
  • ra.gdi.cz
  • ad.temusados.com.br
  • adserver.abanca.com
  • adserver.musicpublishers.nl
  • www.handfulhost.com
  • jointjedraaien.nl
  • ads.radiocapris.si
  • www.amsterdamadvertisingnetwork.nl
  • ads.livesportmedia.eu
  • ads.wwe-media.de
Našli jste v článku chybu?
  • Aktualita je stará, nové názory již nelze přidávat.
  • 1. 7. 2019 21:13

    ...

    překvapujeme mě ta obrovská ochota dávat do stránek kódy třetích stran a dále se o to nestarat. Dnes i webové bankovnictví se neobejde bez stahování js z jiných webů, což je šílenost.

  • 1. 7. 2019 22:41

    Luk

    Na většině dnešních webů je hned celá plejáda externích skriptů. Nejvíc od Googlu (typicky hned několik - často šmírujících), od Facebooku (silně šmírujících), pak od různých "skvělých pluginů" do WordPressu nebo jiného CMS. Přitom ty skripty mohou mít postupem času úplně jiný obsah než původně.

    Dokonce ani provozovatelům státních webů není divné, že používají externí skripty pro stránky, kde se uživatel přihlašuje. Kdysi jsem kvůli tomu "prudil" ministerstvo financí, které mělo (možná ještě má?) řešení reCAPTCHA na přihlašovací stránce do správy EET, aniž by mělo s Googlem uzavřenou nějakou zvláštní smlouvu.

  • 2. 7. 2019 1:29

    bez přezdívky

    máte naprostou pravdu.. a co nejvíce tristní, tyto subjekty (třeba zmiňovaný internet banking) to nedělají PROTO, že by kody a scripty třetích stran měly nějakou "přidanou FUNKCNI hodnotu".. najaté marketingové agentury, co stojí za správou webu to tam plácají čistě jen z VIZUALNICH důvodů! .. hezky to scrolluje, animuje atd.. no to je naprostá zh-1.vadilost! .. ale takto uvažuje nadpoloviční většina společností.. jen se podívejte, kolik "mega" společností v posledních 5 letech re-designovala své korporátní weby ve stylu wordpress, drupal atd.. - velké fonty, velké ikony, vše na jedné stránce.. a přitom měly prve opravdu graficky skvostné a vizuálně působivé weby.. néé.. dnes musí mít každý web, co se po vzhledové stránce blíží roku 1998.. je to hnus, kam se to sune.. nesnáším weby, co mají nulovou informační hodnotu - HLAVNE, že jsou postavené na Wordpress a "hezky se to animuje a scrollouje všude.. ".. veškeré (nicneříkající) informace ve formě 3 odstavců jsou na jedné scrollující stránce.. jako PR možná dobré, přínosná informace pro potenciálního klienta nulová.

    p.S. pro redakci-.. pokud budete považovat slovo "zh-.1-dilost" za obscénní a nepřijatelné, tak si LASKAVE zařadte do slovníku nepovolených slov i taková, jako Kr--vina.. či blbost. to je fakt neskutečné, jakým způsobem se snažíte automaticky moderovat diskuse a nejste schopni pochopit a odlišit velmi výrazné rozdíly mezi kořeny slov.

  • 2. 7. 2019 15:33

    atomicfall

    "Nepoužívej to IE, nepoužívej to IE, nepoužívej to IE, nebo se z toho zblázníš." Nechápu, proč Microsoft už dneska defaultně nezakazuje na všech verzích Windows tuhle děravou, hnusnou a ošklivou věc, která nikdy neměla spatřit světlo světa. O Flashplayeru nemluvě. Nakaženým bych snad je popřál, dobře jim tak. Na všech počítačích, které spravuju, jsem IE zakázal v nastavení systémových funkcí, není s tím jediný problém a počítač je najednou o hodně bezpečnější. Drsnější řešení (=vyhodit Wokna z počítače a dát tam nějakej pěknej Linux) mě znepokojuje akorát v kompatibilitě s MS Office.

  • 2. 7. 2019 21:19

    ...

    důvod je nasnadě, na staré IO je navázána neskutečná spousta firemních a korporátních aplikací, IE engine používá obrovské množství desktop aplikací a MS drží zpětnou kompatibilitu hodně pevně. Je pouze otázka, jestli to nelze řešit jinak či nelze tuhle funkci mít na vyžádání či dnes již přesunout do virtuálu, nevím, ve Windows světě již nějaký pátek nerobím.

  • 3. 7. 2019 8:39

    bez přezdívky

    Na 10kách, které už by ideálně měli všichni mít, protože Win7 brzy končí podpora a o předchozích verzích ani nemluvím, už IE není defaultně instalovaný (je tam Edge) a IE si tam musíte poměrně komplikovaně doinstalovat, pokud jej potřebujete. Z toho také plyne oněch 0,67% (to je opravdu málo) uživatelů webu, kteří IE používají. Jde o nějaké zastaralé stroje třeba i s XP nebo firemní kousky, které IE mají nainstalované kvůli kompatibilitě nějakých zastaralých korporátních aplikací... (a jejichž uživatelé jej využívají i pro prohlížení webu)

  • 3. 7. 2019 9:49

    fotoba

    MS zvolil zatiaľ jemnejšiu formu:

    Microsoft: Internet Explorer není prohlížeč, přestaňte ho tak používat
    Markéta Mikešová 10. února 2019
    https://www.zive.cz/clanky/microsoft-internet-explorer-neni-prohlizec-prestante-ho-tak-pouzivat/sc-3-a-197149/default.aspx

    Ono je ale problém inde

    By Catalin Cimpanu
    February 24, 2017
    Just by preventing access to admin accounts, a system administrator could safeguard all the computers under his watch and prevent attackers from exploiting 94% of all the critical vulnerabilities Microsoft patched during the past year.

    Even more interesting is that the Avecto 2016 report highlights that if sysadmins had forced users to utilize a low-privileged account instead of an admin-level profile, they would have mitigated 100% of all critical Internet Explorer and Microsoft Edge browser vulnerabilities patched during the past year.

    The same 100% threshold also stands for Office 2016, showing the large number of security threats a system admin could mitigate just by a proper user management policy.
    https://www.bleepingcomputer.com/news/microsoft/removing-user-admin-rights-mitigates-94-percent-of-all-critical-microsoft-vulnerabilities/