Pewien użytkownik na forum producenta zgłosił błąd, w którym wysłanie znaków http://: powoduje zawieszenie się i zamknięcie aplikacji. Wyczyszczenie wiadomości również nie rozwiązuje problemu, ponieważ historia rozmów pobierana jest z serwera Skype i ponownie zawieszać będzie aplikację. Microsoft już udostępnił stosowną aktualizację, jednak to nie jedyny incydent jaki dotyka Skype w ostatnich kilku dniach.

PishMe donosi, że Skype wykorzystywany jest przez scamerów do rozprzestrzeniania reklamowego oprogramowania. Atakujący posługują się botem – programem, który wykonuje pewne instrukcje zastępując udział człowieka, dzwonią do swoich ofiar podstawiając im złośliwy adres URL. Próba zaakceptowania połączenia od „www[.]viewror[.]com kończy się przekierowaniem do złośliwej strony www.viewror[kropka]com, na której hostowany jest zastrzeżony materiał wideo i aby go obejrzeć, ofiara musi pobrać aplikację, która wypełnia znamiona nie tylko oprogramowania adware, ale podciągnąć ją można także pod malware.

Drążąc dalej temat okazuje się, że źródło strony wskazuje na ciekawą zależność. Autor lub autorzy tego ataku infekują komputery użytkowników oprogramowaniem typu adware – link do pobrania aplikacji wskazuje na jakiś rodzaj programu partnerskiego, z którego autor strony może czerpać korzyści finansowe w zamian za unikalne instalacje lub określoną liczbę pobrań.

Po uruchomieniu aplikacji VideoPlayer.exe wyświetlany jest monit o przyznanie programowi praw administratora (co także wzbudza nieufność), instaluje i uruchamia wiele procesów odpowiedzialnych za instalowanie adware w systemie. W efekcie zainstalowana zostaje aplikacja Search Protect, której nazwa wskazuje na ochronę użytkownika przed szkodliwymi stronami w popularnych wyszukiwarkach. W rzeczywistości Search Protect niewiele ma wspólnego z „ochroną”, zamiast tego potrafi wyświetlać reklamy w miejscach, gdzie normalnie ich nie powinno być.

Badaczom udało się zlokalizować szkodliwe adresy IP, z którymi łączyły się boty oraz z których przychodziło połączenie (playpso[d]com, msglp[d]com, vomsg[d]com, viewssr[d]com i kilka innych). Okazało się, że wszystkie złośliwe strony hostowane były na serwerach Amazonu. Autorzy wykrytej kampanii adware skontaktowali się już z pomocą techniczną AWS i wszystkie szkodliwe strony zostały „zdjęte”.

źródło: Arcabit

Kan