Hlavní navigace

Skrze web CZC.cz se šířil škodlivý malware, vydírá uživatele a krade hesla

1. 7. 2019

Sdílet

GreenFlash Sundown

Avast začal v pátek detekovat malware, který se šířil skrze e-shop „věčné dvojky“ CZC.cz a jehož účelem je instalovat na počítače uživatelů ransomware, nástroj na těžbu kryptoměn či krást hesla. Avast uvádí, že za čtyři dny zablokoval 72 tisíc útoků a ochránil 14 tisíc uživatelů.

„Malware se šíří prostřednictvím exploit kitu GreenFlash Sundown a zneužíval zejména reklamní agenturu napojenou na web společnosti CZC.CZ. S tou Avast spolupracoval na odstranění problému a situace je nyní pod kontrolou,“ uvádí firmy.

Ohrožení se týká uživatelů, kteří ještě stále využívají prohlížeč Internet Explorer a své hraje i Flash Player. Avast popisuje, že „je stažen další obsah z domény fastimage.site, odkud škodlivý kód dále vytvoří profil oběti a pokud si myslí, že oběť používá zastaralou verzi Internetu Exploreru, pro kterou má funkční exploit, kód stáhne a spustí. Podle našich dat jde zhruba o 10 % uživatelů. Podle dostupných informací využívá exploit kit zranitelnosti ve Flash Playeru, konkrétně CVE-2018–4878 a CVE-2018–15982.“

Avast dále uvádí, že „malware nijak nebrání uživateli v prohlížení stránek CZC.CZ. Pokud uživatel používá blokování reklamy, tento software zablokuje kód ještě dříve než Avast, protože adblock blokuje už samotný požadavek na HTTP podle URL (viz např. /www/delivery/* z https://easylist.to/easy­list/easylist.txt), zatímco antivirus od Avastu blokuje až podle obsahu HTTP odpovědi.“

CZC k tomu Lupě zaslalo vlastní vyjádření: „Jednalo se o chybu, způsobenou systémem třetí strany pro nasazování reklamních bannerů, která umožnila vložit útočníkovi potenciálně škodlivý kód. Tu jsme bezprostředně po objevení opravili. Problém se mohl za určitých okolností dotknout 0,63 % uživatelů našeho e-shopu. Jedná se o tu část návštěvníků, kteří používají neaktualizovaný prohlížeč Internet Explorer. Uživatelé ostatních prohlížečů mohli zaregistrovat varovnou hlášku, nicméně žádné bezprostřední nebezpečí jim nehrozilo. Tato situace urychlila vývoj a spuštění vlastního systému, díky kterému by se podobná situace neměla v budoucnu opakovat.“

Avast také zjistil, že se škodlivý kód šíří také přes další weby. Zde je jejich seznam:

  • r.czc.cz
  • ads.adsolut.in
  • ads.acb.com
  • topnews.si
  • openx.birdpix.nl
  • adv.arna.ir
  • ra.gdi.cz
  • ad.temusados.com.br
  • adserver.abanca.com
  • adserver.musicpublishers.nl
  • www.handfulhost.com
  • jointjedraaien.nl
  • ads.radiocapris.si
  • www.amsterdamadvertisingnetwork.nl
  • ads.livesportmedia.eu
  • ads.wwe-media.de
Našli jste v článku chybu?
  • Aktualita je stará, nové názory již nelze přidávat.

Byl pro vás článek přínosný?

Autor aktuality

Reportér Lupa.cz a E15. O technologiích píše také do zahraničních médií.