В начале февраля 2016 года эксперты компании Check Point рассказали о том, что аукцион eBay отказывается исправлять опасную уязвимость в своей платформе. Тогда баг не показался сотрудникам eBay сколь-нибудь опасным, невзирая на все возражения специалистов. Теперь ситуация усугубилась, хотя разработчики eBay все же попытались создать патч. К сожалению, вышедшее исправление проблему не устранило, а уязвимость уже начали использовать хакеры.

Баг получивший имя JSF**k связан с одноименным обфускатором кода, который шутки ради создал разработчик Мартин Клеппе (Martin Kleppe). Суть работы данного инструмента заключается в том, что нормальный JavaScript код преобразуется в череду символов [ ] ( ) ! и +. Это позволяет получить работающий код на JavaScript, который при этом не распознают практически никакие механизмы защиты.

Специалисты Check Point еще в начале февраля заметили, что код, пропущенный через JSF**k, можно успешно разместить в поле описания товара на eBay. Системы защиты аукциона запрещают использование iFrames и HTML тегов на страницах товаров, однако против настолько изуродованного кода они бессильны.

Вначале разработчики eBay отмахнулись от специалистов, заявив, что они не считают возможность проведения подобных атак уязвимостью. После предания проблемы огласке, служба безопасности аукциона, очевидно, передумала, и несколько дней назад компания представила патч, частично корректирующий работу защитных фильтров.

Теперь специалисты компании Netcraft сообщают, что исправление оказалось неэффективно, и атаки с применением JSF**k кода по-прежнему возможны. Более того, эксперты пишут, что уже наблюдают эксплуатацию уязвимости не в теории, а на практике – ею пользуются самые настоящие хакеры.

Image8-1024x499
Вредоносный лот отображается в поиске eBay

По данным Netcraft, для создания вредоносных страниц товаров используются скомпрометированные аккаунты, в основном в сегменте продажи автомобилей. Все задействованные в атаках учетные записи ранее принадлежали старым пользователям аукциона с безупречной репутацией. Кроме того, вредоносные лоты атакующих полностью копируют настоящие лоты, торги по которым уже закончились. Очевидно, злоумышленники сочли, что так их вредоносная активность дольше останется незамеченной и привлечет меньше внимания. Также эксперты отмечают, что атакующие стараются оставлять минимум следов на серверах аукциона.

Image73-1024x654
После клика по ссылке вредоносного лота, жертва переадресовывается на поддельную страницу на сервере хакеров. С виду страница выглядит обычным лотом eBay, но внимание на URL
Image18
Вредоносный скрипт вставлен в описание дома на колесах. Специалисты Netcraft замазали наиболее важные его части, чтобы избежать появления подражателей

Пока злоумышленники похищают только email-адреса жертв. Дело в том, что основная их цель — не похитить пароли, а заставить пользователя оплатить несуществующий лот. Адреса жертв используются для отправки поддельных платежных накладных и ссылок, якобы ведущих на сайт платежного сервиса Escrow. Разумеется, сервис поддельный, и вся оплаченная жертвой сумма осядет в карманах хакеров.

12751884_299911173676477_620136978_o-1024x556
Фальшивое письмо от платежного сервиса

Фото: dapd



Оставить мнение