nlothik (nlothik) wrote,
nlothik
nlothik

Интересный вирус

Третьего дня анализировал очередной бразильский вирус. Работает он изящно, по-бразильски. Вместо того, чтобы делать какие-то там сложные вещи, он тупо прописывает адрес VBS скрипта в строку автоконфигурации прокси. Обычно этот скрипт используется IT чтобы автоматически перебрасывать траффик для определённых сайтов через прокси-сервер, что полезно в гетерогенных сетях с замудрёнными комбинациями интра- и интернет-сайтов.

Тут то же самое, только скрипт пробрасывает траффик через прокси сервер для сайтов онлайн-банкинга =)

Я сначала не вкурил, зачем это такое. Ведь если зашифрованный траффик бросить через какой-то третий хост, он зашифрованным быть не перестанет. Да, можно устроить MITM, но чтобы это сработало хорошо, надо сделать много ОЧЕНЬ затратных телодвижений; люди с такими талантами не станут красть банковские пароли. А тупой, незатратный MITM засечёт браузер. Некоторые дурни, конечно, нажмут кнопочку "продолжить", но...

А потом выяснилось, что крякеры не стали заморачиваться с такой сложной схемой. Это не реальный прокси-сервер. Это тупой веб-сервер (запросы к вебсайту через прокси от обычных запросов ничем не отличаются), и они тупо подсовывают вместо банковского сайта свою копию, в первом приближении похожую на реальный сайт, а с шифрованием трафика не связываются.

Способ неплох тем, что по имени домена в браузере такой фишинг не сечётся. В строке адреса прописан домен реального веб-сайта.

Очевидно, многие ведутся.
Tags: жулики, программирование, работа, сисадминское, уголовщина
Subscribe

  • Товарищи канадцы

    Наши дорогие северные друзья, вас поздравить или вам посочувствовать? Помнится, режим Трюдо во время коронавируса всех порядком подзадрал. Так что,…

  • Словарь американских дальнобойщиков

    Читал пару раз, улыбался. Напомнило словарь арго американских хобо за авторством Джэка нашего Лондона. Решил поделиться, в собственном вольном…

  • Граждане в спортзале

    Я обычно в спортзале ещё до рассвета. Встаю около пяти, прихожу домой где-то в шесть сорок пять, быстро моюсь-бреюсь и еду в офис. Со мной в это…

  • Post a new comment

    Error

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 8 comments