Истина где-то ниже
Октябрь 21, 2018

Мошенники угнали брошенный автором счетчик твитов

Очень плохоПлохоСреднеХорошоОчень хорошо (Еще нет голосов, оставьте первым)
Загрузка...

Злоумышленники подменили популярный плагин для подсчета количества ретвитов вредоносным. К такому выводу пришли ИБ-эксперты компании Sucuri, обратившие внимание на подозрительную активность на использующих скрипт сайтах. Несмотря на то что автор прекратил поддержку своего продукта три месяца назад, более 800 интернет-площадок продолжают его подгружать.

Пользователи расширения New Share Counts встраивали в код страницы скрипт, обращающийся к облачному CDN-сервису Amazon, где был размещен сам счетчик. Это обычная практика, позволяющая обеспечить лучшую доступность плагина. В июле 2018 года разработчик остановил поддержку продукта и сообщил об этом на своем сайте, предложив пользователям перейти на альтернативный счетчик. При этом облачный контейнер по адресу http://newsharecounts.s3-us-west-2.amazonaws[.]com оставался доступен. В начале августа закрыли и его, а 3 октября ресурс был удален. Однако уже на следующий день злоумышленники создали новый контейнер с таким же адресом.

Фальшивый репозиторий содержал вредоносную версию плагина, которая вместо подсчета количества твитов перенаправляла посетителя на фишинговую страницу. ИБ-специалисты указывают, что скрипт, раздаваемый злоумышленниками, срабатывал при нажатии на кнопку «Назад» в браузере. Как отмечают эксперты, подобное поведение макрос демонстрировал только на мобильных устройствах — пользователи персональных компьютеров не были затронуты атакой.

Помимо очевидных преимуществ, использование CDN-сетей несет в себе и определенные риски, поскольку разработчику сложнее контролировать содержимое многочисленных копий своей площадки. В августе этого года стало известно о злоумышленниках, которым удалось разместить вредоносный скрипт на серверах RawGit, дублирующих контент репозитория GitHub. Дождавшись попадания своей программы в кэш сервиса, киберпреступники удаляли ее из основного хранилища, но продолжали раздавать через зеркала.

Источник: https://threatpost.ru/scammers-hijacked-abandoned-tweet-counter/28796/