В августе текущего года неизвестные злоумышленники зарегистрировали домен electronicfrontierfoundation.org, выдавая себя за Фонд электронных рубежей (EFF). Хотя настоящий EFF заметил подделку и предупредил сетевую общественность об опасности еще летом, сайт, как ни странно, до сих пор работает, распространяя малварь.
Напомню, что в августе представители EFF заметили появление в сети фальшивого сайта и сообщили, что это – часть хакерской операции Pawn Storm, за которой, по мнению многих ИБ экспертов, стоит группа, финансируемая российским правительством, известная как APT 28.
Атакующие использовали electronicfrontierfoundation.org для таргетированных фишинговых атак: жертвам присылали письма, якобы от имени EFF, заманивали на вредоносный сайт, а там пользователей поджидал эксплоит, нацеленный на первый за несколько лет 0-day, обнаруженный в Java. Домен зарегистрирован на некую Шаванда Кирлин (Shawanda Kirlin), на Бали, но в EFF полагают, что это фальшивое имя.
Как ни странно, закрыть поддельный сайт оказалось не так-то просто. Фонд электронных рубежей заполнил официальную жалобу, обратившись во Всемирную организацию интеллектуальной собственности (WIPO). Кирлин никак не отреагировала на запросы WIPO, хотя нарушает права EFF. Не последовало реакции и в ответ на обвинения в распространении вредоносного ПО, через уязвимость в Java. И лишь теперь, когда все формальности были соблюдены, работу фальшивого сайта остановят, а домен передадут EFF. Этот процесс должен занять около недели. После вредоносный ресурс наконец прекратит свое существование.
Фото: EFF Photos
