Avast začal v pátek detekovat malware, který se šířil skrze e-shop „věčné dvojky“ CZC.cz a jehož účelem je instalovat na počítače uživatelů ransomware, nástroj na těžbu kryptoměn či krást hesla. Avast uvádí, že za čtyři dny zablokoval 72 tisíc útoků a ochránil 14 tisíc uživatelů.
„Malware se šíří prostřednictvím exploit kitu GreenFlash Sundown a zneužíval zejména reklamní agenturu napojenou na web společnosti CZC.CZ. S tou Avast spolupracoval na odstranění problému a situace je nyní pod kontrolou,“ uvádí firmy.
Ohrožení se týká uživatelů, kteří ještě stále využívají prohlížeč Internet Explorer a své hraje i Flash Player. Avast popisuje, že „je stažen další obsah z domény fastimage.site, odkud škodlivý kód dále vytvoří profil oběti a pokud si myslí, že oběť používá zastaralou verzi Internetu Exploreru, pro kterou má funkční exploit, kód stáhne a spustí. Podle našich dat jde zhruba o 10 % uživatelů. Podle dostupných informací využívá exploit kit zranitelnosti ve Flash Playeru, konkrétně CVE-2018–4878 a CVE-2018–15982.“
Avast dále uvádí, že „malware nijak nebrání uživateli v prohlížení stránek CZC.CZ. Pokud uživatel používá blokování reklamy, tento software zablokuje kód ještě dříve než Avast, protože adblock blokuje už samotný požadavek na HTTP podle URL (viz např. /www/delivery/* z https://easylist.to/easylist/easylist.txt), zatímco antivirus od Avastu blokuje až podle obsahu HTTP odpovědi.“
CZC k tomu Lupě zaslalo vlastní vyjádření: „Jednalo se o chybu, způsobenou systémem třetí strany pro nasazování reklamních bannerů, která umožnila vložit útočníkovi potenciálně škodlivý kód. Tu jsme bezprostředně po objevení opravili. Problém se mohl za určitých okolností dotknout 0,63 % uživatelů našeho e-shopu. Jedná se o tu část návštěvníků, kteří používají neaktualizovaný prohlížeč Internet Explorer. Uživatelé ostatních prohlížečů mohli zaregistrovat varovnou hlášku, nicméně žádné bezprostřední nebezpečí jim nehrozilo. Tato situace urychlila vývoj a spuštění vlastního systému, díky kterému by se podobná situace neměla v budoucnu opakovat.“
Avast také zjistil, že se škodlivý kód šíří také přes další weby. Zde je jejich seznam:
- r.czc.cz
- ads.adsolut.in
- ads.acb.com
- topnews.si
- openx.birdpix.nl
- adv.arna.ir
- ra.gdi.cz
- ad.temusados.com.br
- adserver.abanca.com
- adserver.musicpublishers.nl
- www.handfulhost.com
- jointjedraaien.nl
- ads.radiocapris.si
- www.amsterdamadvertisingnetwork.nl
- ads.livesportmedia.eu
- ads.wwe-media.de