Τα συστήματα της Malwarebytes εντόπισαν μολύνσεις που προέρχονται από το δημοφιλές site ενηλίκων Xtube, το οποίο κατατάσσεται στο νούμερο 786 στις ΗΠΑ από το Alexa. Η “πονηρή” ιστοσελίδα έχει κατ ‘εκτίμηση 25 εκατομμύρια επισκέψεις.
Σε αντίθεση με άλλες επιθέσεις που κυκλοφορούν τον τελευταίο καιρό στο διαδίκτυο, η συγκεκριμένη δεν χρησιμοποιεί κακόβουλες διαφημίσεις για να θέσει σε κίνδυνο τους χρήστες της ιστοσελίδας.
Αντ ‘αυτού, κάνει inject ένα κακόβουλο απόσπασμα ενός κώδικα απευθείας στο ίδιο το Xtube (δυναμικό, on-the-fly injection). Ο κώδικας παραπέμπει σε domains που αλλάζουν συνεχώς:
Το domain jsloggery com για παράδειγμα χρησιμεύει σαν domain ανακατεύθυνσης που οδηγεί σε σελίδες που περιέχουν κάποιο exploit Kit:
Παρακάτω είναι μια λίστα με όλα τα domains ανακατεύθυνσης που έχει ανακαλύψει η Malwarebytes μέχρι τώρα:
Το τελικό βήμα της επίθεσης είναι η προσγείωση σε ιστοσελίδες που περιέχουν το Neutrino Exploit Kit.
Το ωφέλιμο φορτίο ανιχνεύεται από το Malwarebytes Anti-Malware σαν Trojan.MSIL.ED.
Εδώ είναι μια περίληψη της ροής επίθεσης:
Η Malwarebytes έχει προειδοποιήσει ήδη τους διαχειριστές του Χtube. Αν γνωρίζετε την ιστοσελίδα καλά θα κάνατε να αποφεύγετε τις επισκέψεις, μέχρι να επιδιορθωθεί ο κώδικας του site.