Fake antivirus campaign on India’s DNA e-newspaper website !

DNA (Daily News dan Analisis) adalah sebuah koran berbahasa India harian Inggris. Menurut Wikipedia, DNA peringkat ke-8 di antara sepuluh harian bahasa Inggris di India. Baru-baru ini, solusi ternama ZScaler menghalangi akses ke situs ini, karena berisi konten jahat. Berikut adalah homepage dari website ini:

Link 'E-koran hari ini' (dilingkari di atas) adalah versi online dari terbitan berkala dicetak. Kami menemukan bahwa salah satu halaman dari situs e-surat kabar itu terinfeksi dengan skrip berbahaya. Berikut adalah screenshot dari halaman tersebut:

Tag skrip berbahaya telah dimasukkan dalam teks biasa seperti dapat dilihat dalam screenshot halaman
sumber:


Tag skrip berbahaya mengarahkan browser korban untuk 'hxxp: / / vcvsta.com / ur.php'. Halaman ini kemudian mengarahkan ulang pengguna ke situs lain berbahaya ('hxxp: / / www4.to-gysave.byinter.net,), yang lagi-lagi akan mengarahkan korban ke situs acak hosting kampanye antivirus palsu. Berikut adalah screenshot menampilkan peringatan palsu malware:

Seperti biasa, halaman menggunakan taktik rekayasa sosial, yang menampilkan pesan peringatan palsu dan nama ancaman untuk menakut-nakuti korban dalam men-download produk AV palsu. Hasil VirusTotal untuk biner download saat ini hanya menampilkan 10/43 mesin AV mendeteksi serangan tertentu. Disini kita memiliki contoh lain dari sebuah website yang sah dan populer yang terinfeksi sehingga penyerang (s) dapat berdampak sejumlah besar korban.

Link 'E-koran hari ini' (dilingkari di atas) adalah versi online dari terbitan berkala dicetak. Kami menemukan bahwa salah satu halaman dari situs e-surat kabar itu terinfeksi dengan skrip berbahaya. Berikut adalah screenshot dari halaman tersebut:

Tag skrip berbahaya telah dimasukkan dalam teks biasa seperti dapat dilihat dalam screenshot halaman
sumber:

Tag skrip berbahaya mengarahkan browser korban untuk 'hxxp: / / vcvsta.com / ur.php'. Halaman ini kemudian mengarahkan ulang pengguna ke situs lain berbahaya ('hxxp: / / www4.to-gysave.byinter.net,), yang lagi-lagi akan mengarahkan korban ke situs acak hosting kampanye antivirus palsu. Berikut adalah screenshot menampilkan peringatan palsu malware:

Seperti biasa, halaman menggunakan taktik rekayasa sosial, yang menampilkan pesan peringatan palsu dan nama ancaman untuk menakut-nakuti korban dalam men-download produk AV palsu. Hasil VirusTotal untuk biner download saat ini hanya menampilkan 10/43 mesin AV mendeteksi serangan tertentu. Disini kita memiliki contoh lain dari sebuah website yang sah dan populer yang terinfeksi sehingga penyerang (s) dapat berdampak sejumlah besar korban.

Simak

Baca secara fonetik