Στις 28 Ιουνίου, η δημοφιλής βίντεο υπηρεσία Dailymotion παραβιάστηκε για να ανακατευθύνει τους χρήστες της στο Sweet Orange Exploit Kit. Αυτό το exploit kit εκμεταλλεύεται ευπάθειες της Java, του Internet Explorer, και του Flash Player. Εάν τα τρωτά σημεία των παραπάνω εφαρμογών αξιοποιηθούν με επιτυχία ένα pay-per-click malware κατεβαίνει στον υπολογιστή του θύματος. Από αυτή την εβδομάδα, η Dailymotiοn δεν είναι πλέον μολυσμένη, καθώς οι τεχνικοί ασφαλείας κατάφεραν να εξαλείψουν την απειλή.
Οι επιτιθέμενοι κατάφεραν να παραβιάσουν την Dailymotiοn, κάνοντας inject ένα iframe στην ιστοσελίδα της. Να υπενθυμίσουμε ότι η Dailymotiοn είναι στην κορυφή της λίστας του Alexa και είναι στις 100 πιο δημοφιλείς ιστοσελίδες. Έτσι οι επιτιθέμενοι θα μπορούσαν να έχουν μολύνει ενδεχομένως αρκετούς υπολογιστές με κακόβουλο λογισμικό με αυτή την επίθεση. Η επίθεση έπληξε κυρίως επισκέπτες της Dailymotion από τις ΗΠΑ και την Ευρώπη.
Πώς η λειτούργησε η επίθεση
Οι επιτιθέμενοι με το injected iframe στην ιστοσελίδα του Dailymotion μπόρεσαν να ανακατευθύνουν τους χρήστες σε μια διαφορετική ιστοσελίδα. Αυτή η ιστοσελίδα με τη σειρά της έστελνε τους χρήστες σε μια σελίδα που περιείχε το Sweet Orange Exploit Kit (Η Symantec το έχει ανινεύσει από το 2013)
Το Exploit Kit μπορεί να εντοπίζει τα ευάλωτα plugins στον υπολογιστή του χρήστη και να χρησιμοποιεί τα exploits που χρειάζονται. Το Sweet Orange εκμεταλλεύεται τις παρακάτω γνωστές ευπάθειες:
- Microsoft Internet Explorer Use-After-Free Remote Code Execution Vulnerability (CVE-2013-2551)
- Adobe Flash Player Buffer Overflow Vulnerability (CVE-2014-0515)
- Oracle Java SE Remote Java Runtime Environment Vulnerability (CVE-2013-2460)
Αν το Exploit Kit καταφέρει να αξιοποιήσει με επιτυχία κάποια από τις παραπάνω ευπάθειες, τότε κατεβάζει στον υπολογιστή του θύματος το Trojan.Adclicke. Αυτό το κακόβουλο λογισμικό αναγκάζει τον μολυσμένο υπολογιστή να κάνει κλικς σε διαφημίσεις pay-per-clicks, προκειμένου να δημιουργήσει έσοδα για τους επιτιθέμενους.
