Jak cyberprzestępcy próbowali wykorzystać Euro 2012
Euro 2012 stało się kolejnym narzędziem w rękach cyberprzestępców. Międzynarodowe święto futbolu służyło im jako przynęta, mająca skłonić internautów do odwiedzenia złośliwych stron internetowych. Specjaliści z firmy Trend Micro zdemaskowali szereg fałszywych witryn tego typu.
Znalazły się wśród nich m.in. strony www linkujące do fałszywych ankiet oraz zbierające dane o użytkownikach, a także strona podszywająca się pod oficjalną domenę UEFA EURO 2012.
Jedna domena, wiele zagrożeń
Analizując działalność cyberprzestępców związaną z Euro 2012, eksperci z Trend Micro zidentyfikowali stronę {BLOCKED}uro2012.com. Witryna podszywała się pod oficjalną stronę http://www.uefa.com/uefaeuro/. Po przeskanowaniu okazało się, że na stronie znajdowało się kilka złośliwych programów, między innymi TROJ_FAKEAV.HUU w wersji FAKEAV. Po uruchomieniu wyświetlał on ekran imitujący wynik skanowania zainfekowanego komputera. Celem programu jest nakłonienie użytkownika do instalacji fałszywego programu antywirusowego oraz zakupu i aktywacji jego pełnej wersji.
Strona aktywująca FAKEAV to w rzeczywistości narzędzie do phishingu - ataków polegających na wyłudzaniu od użytkowników ich poufnych danych. Okazuje się również, że TROJ_FAKEAV.HUU zawiesza przeglądarki Internet Explorer, Mozilla Firefox i Google Chrome.
Na tej samej stronie znajduje się również plik TROJ_LOADR.BGV, który łączy się z trzema adresami URL i ściąga program TSPY_ZBOT.JMO w wersji ZBOT. Ten rodzaj złośliwego oprogramowania wyłudza dane dotyczące internetowych kont bankowych.
Złośliwe pozycjonowanie
Cyberprzestępcy wykorzystali także popularność meczu reprezentacji Czech i Portugalii z 21 czerwca do oszustwa polegającego na pozycjonowaniu złośliwej strony www - tzw. Blackhat Search Engine Optimization (BHSEO).
Po wpisaniu w wyszukiwarce ciągu słów "oglądaj na żywo Portugalia Czechy" (Watch Portugal vs Czech Republic match live), wśród najwyżej pozycjonowanych wyników pojawiała się złośliwa strona internetowa. Po kliknięciu, zamiast na stronę z transmisją meczu, użytkownik zostawał przekierowany na stronę z ofertą wideo. Po akceptacji takiej propozycji przez użytkownika, już bez jego wiedzy, dochodziło do połączeń z powiązanymi stronami, które śledziły jego lokalizację i adres IP. W ten sposób oszuści mogli zarabiać, używając tych danych jako wejść na strony z reklamami.
Kolejny, podobny atak przeprowadzono przy okazji meczu Anglia - Włochy. Strona {BLOCKED}glandvsitalylivestreameuro2012online.com przekierowywała użytkowników pod adres: http://www.{BLOCKED}og.com/2012/06/england-vs-italy-live-stream/, który rzekomo miał oferować dostęp do transmisji meczu na żywo. W rzeczywistości użytkownik trafiał jedynie na stronę z fałszywą ankietą, która z kolei prowadziła do powiązanych stron zbierających dane o wejściach na strony reklamowe.
Fałszywa aplikacja dla Chrome i clickjacking
Specjaliści z Trend Micro natknęli się również na fałszywą aplikację w Chrome Web Store. Po instalacji i uruchomieniu aplikacji, następowało przekierowanie na złośliwą stronę http://www.{BLOCKED}linetv.biz/livesports.php, która prowadziła do kolejnych stron z trackerami.
Fala cyberataków nie ominęła również osób korzystających z Facebooka. Na najpopularniejszym portalu społecznościowym zaobserwowano szereg postów rzekomo prowadzących na strony oferujące transmisję meczu. Jednak, podobnie jak w przypadku złośliwej aplikacji dla przeglądarki, również i te strony przekierowywały użytkowników dalej, umożliwiając oszustom wykorzystanie odwiedzin do zarabiania pieniędzy na reklamach.
