Euro 2012  u cyberprzestępców  

Znalazły się wśród nich m.in. strony www linkujące do fałszywych ankiet oraz zbierające dane o użytkownikach, a także strona podszywająca się pod oficjalną domenę UEFA EURO 2012.

Jedna domena, wiele zagrożeń

Analizując działalność cyberprzestępców związaną z Euro 2012, eksperci z Trend Micro zidentyfikowali stronę {BLOCKED}uro2012.com. Witryna podszywała się pod oficjalną stronę http://www.uefa.com/uefaeuro/. Po przeskanowaniu okazało się, że na stronie znajdowało się kilka złośliwych programów, między innymi TROJ_FAKEAV.HUU w wersji FAKEAV. Po uruchomieniu wyświetlał on ekran imitujący wynik skanowania zainfekowanego komputera. Celem programu jest nakłonienie użytkownika do instalacji fałszywego programu antywirusowego oraz zakupu i aktywacji jego pełnej wersji.

• Strona aktywująca FAKEAV to w rzeczywistości narzędzie do phishingu – ataków polegających na wyłudzaniu od użytkowników ich poufnych danych. Okazuje się również, że TROJ_FAKEAV.HUU zawiesza przeglądarki Internet Explorer, Mozilla Firefox i Google Chrome.

• Na tej samej stronie znajduje się również plik TROJ_LOADR.BGV, który łączy się z trzema adresami URL i ściąga program TSPY_ZBOT.JMO w wersji ZBOT. Ten rodzaj złośliwego oprogramowania wyłudza dane dotyczące internetowych kont bankowych. Więcej informacji na temat odmian ZBOT/ZeuS można znaleźć w raporcie przygotowanym przez Trend Micro – Zeus: A Persistent Criminal Enterprise (http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp_zeus-persistent-criminal-enterprise.pdf).

Złośliwe pozycjonowanie

Cyberprzestępcy wykorzystali także popularność meczu reprezentacji Czech i Portugalii z 21 czerwca do oszustwa polegającego na pozycjonowaniu złośliwej strony www – tzw. Blackhat Search Engine Optimization (BHSEO). Po wpisaniu w wyszukiwarce ciągu słów „oglądaj na żywo Portugalia Czechy” (Watch Portugal vs Czech Republic match live), wśród najwyżej pozycjonowanych wyników pojawiała się złośliwa strona internetowa. Po kliknięciu, zamiast na stronę z transmisją meczu, użytkownik zostawał przekierowany na stronę z ofertą wideo. Po akceptacji takiej propozycji przez użytkownika, już bez jego wiedzy, dochodziło do połączeń z powiązanymi stronami, które śledziły jego lokalizację i adres IP. W ten sposób oszuści mogli zarabiać, używając tych danych jako wejść na strony z reklamami.

• Kolejny, podobny atak przeprowadzono przy okazji meczu Anglia – Włochy. Strona {BLOCKED}glandvsitalylivestreameuro2012online.com przekierowywała użytkowników pod adres: http://www.{BLOCKED}og.com/2012/06/england-vs-italy-live-stream/, który rzekomo miał oferować dostęp do transmisji meczu na żywo. W rzeczywistości użytkownik trafiał jedynie na stronę z fałszywą ankietą, która z kolei prowadziła do powiązanych stron zbierających dane o wejściach na strony reklamowe.

Fałszywa aplikacja dla Google Chrome oraz clickjacking na Facebooku

Specjaliści z Trend Micro natknęli się również na fałszywą aplikację w Chrome Web Store. Po instalacji i uruchomieniu aplikacji, następowało przekierowanie na złośliwą stronę http://www.{BLOCKED}linetv.biz/livesports.php, która prowadziła do kolejnych stron z trackerami.

• Fala cyberataków nie ominęła również osób korzystających z Facebooka. Na najpopularniejszym portalu społecznościowym zaobserwowano szereg postów rzekomo prowadzących na strony oferujące transmisję meczu. Jednak, podobnie jak w przypadku złośliwej aplikacji dla przeglądarki, również i te strony przekierowywały użytkowników dalej, umożliwiając oszustom wykorzystanie odwiedzin do zarabiania pieniędzy na reklamach.