Οι ερευνητές της ESET® δημοσίευσαν στο welivesecurity.com μία λεπτομερή ανάλυση του κακόβουλου λογισμικού Win32/Aibatook, το οποίο επιτίθεται σε πελάτες Ιαπωνικών τραπεζών και σε επισκέπτες δημοφιλών ιαπωνικών ιστοσελίδων με περιεχόμενο για ενηλίκους.
Σύμφωνα με τους ερευνητές, περισσότεροι από 90 ιστοσελίδες έχουν πέσει θύμα της επίθεσης. Κατά την επίσκεψη τους οι χρήστες μπορεί να μεταφερθούν σε μία ειδική σελίδα η οποία επιχειρεί να εκμεταλλευτεί ένα τρωτό σημείο της Java, το CVE-2013-2465, για το οποίο είχε εκδοθεί patch τον Ιούνιο του 2013. Αν εντοπιστεί υπολογιστής με ευπάθεια στα Windows, εμφανίζεται σελίδα «404 error page», για να συγκαλύψει το γεγονός ότι ο υπολογιστής «τρέχει» αθόρυβα μία κακόβουλη εφαρμογή της Java.
Σε αντίθεση με πολλά malware που εκμεταλλεύονται πολλαπλές ευπάθειες για να αυξήσουν την πιθανότητα να βρεθεί υποψήφιο θύμα, αυτή η εκστρατεία βασίζεται σε ένα και μοναδικό exploit.
Μόλις το malware εγκατασταθεί, περιμένει τη στιγμή που το θύμα θα συνδεθεί σε online τραπεζικές υπηρεσίες μέσω Internet Explorer (το πιο διαδεδομένο browser στην Ιαπωνία), για να διοχετεύσει ψεύτικες φόρμες στη σελίδα και να αποσπάσει εμπιστευτικές πληροφορίες σύνδεσης. Τα κλεμμένα δεδομένα στέλνονται στους κυβερνοεγκληματίες της εκστρατείας Aibatook μέσω ενός διακομιστή Command and Control.
Η ESET υπενθυμίζει σε όλους τους χρήστες τη σημασία να διατηρούν ενημερωμένες τις συσκευές τους. «Το βασικό μήνυμα είναι ότι οι χρήστες πρέπει να κατανοήσουν ότι η ενημέρωση των λειτουργικών συστημάτων των υπολογιστών και των εφαρμογών θα πρέπει να γίνεται τακτικά» δήλωσε ο Joan Calvet, Ερευνητής της ESET. «Οι κατασκευαστές λογισμικού απλοποιούν συνεχώς τη διαδικασία ενημερώσεων, αλλά είναι σημαντικό όλοι να εγκαθιστούμε τα patch εγκαίρως ώστε να προφυλασσόμαστε από τέτοιες απειλές. Για να απαλλαγούμε οριστικά από τέτοιους εγκληματίες, θα πρέπει να είμαστε όλοι καλοί «διαδικτυακοί» χρήστες.»
Οι ερευνητές της ESET ανακάλυψαν επίσης ότι οι υπεύθυνοι για την επίθεση Aibatook έχουν δημιουργήσει νεότερες εκδοχές του malware, ικανές να κλέψουν δεδομένα από χρήστες υπηρεσιών web-hosting και μεταπωλητές domain.
Για μία λεπτομερή ανάλυση του κακόβουλου λογισμικού και ενημέρωση για την πιθανή ανάγκη κάποιοι χρήστες να απεγκαταστήσουν την εφαρμογή Java από τους υπολογιστές τους, οι ενδιαφερόμενοι μπορούν να επισκεφθούν τη σελίδα http://www.welivesecurity.com/2014/07/16/win32aibatook/, καθώς και το άρθρο του Graham Cluley.