Hackers lançaram um ataque cibernético fracassado no sábado em uma tentativa de infectar milhões de usuários israelenses com ransomware.
Acredita-se que o ataque tenha sido realizado por hackers que operam na Palestina, com base em evidências atuais.
O incidente ocorreu no sábado, 2 de março, quando hackers envenenaram com sucesso os registros DNS do Nagich , um serviço da Web que fornece um widget de acessibilidade (incorporado) em milhares de sites israelenses para fornecer acesso a pessoas com deficiências de leitura.
De acordo com relatos de especialistas em segurança cibernética israelenses, os hackers usaram o widget Nagich para incorporar automaticamente códigos maliciosos em milhares de sites israelenses.
O código seria em primeiro lugar desfigurar o site com uma mensagem que dizia: "#OpJerusalem, Jerusalém é a capital da Palestina", e, em seguida, iria iniciar um download automático de um arquivo do Windows chamado " flashplayer_install.exe ," um arquivo contaminado com ransomware.
A large third-party accessibility script is currently under an active DNS poisoning attack, served by @cloudflare's Israeli endpoint:
$ dig +short @1.1.1.1 js.nagich.co.il
172.81.182.63
Malicious host is serving a message supporting #OpJerusalem
See Yuval يوڤال Adam's other Tweets
Haha Israeli propaganda site @ynetnews has been hacked #OpJerusalem
See Irfan Chowdhury's other Tweets
No entanto, as coisas não correram como planejado para os hackers. Embora a mensagem de desfiguração tenha sido exibida em milhares de páginas da web, incluindo alguns dos maiores sites de notícias de Israel, o download de arquivos não foi iniciado.
Os pesquisadores apenas identificaram o código que deveria acionar o download do arquivo enquanto analisavam as mensagens de desfiguração.
Eles disseram que um erro de codificação impedia que a operação de download automático ocorresse. O erro foi que o código malicioso pararia após o desfiguramento e não acionaria o download do ransomware se a versão do SO fosse uma string diferente do "Windows".
O erro veio do fato de que não há nenhuma sequência de agente do usuário apenas do "Windows", já que as sequências do agente do usuário do navegador também incluem o número da versão do Windows, como "Windows XP" ou "Windows 10."
Isso significava que a instrução "if" sempre retornava true, independentemente do sistema operacional, e o código malicioso executava o desfiguramento e, em seguida, interrompia, interrompendo o download propositalmente.
Well, they maybe wanted to add #Ransomware ability, but they had error in their code. Only #defacement here.
Funny mistake.
OS = ParseOS()
if (OS != "Windows") // Do only defacement
OS can never be Windows exactly.
See Idan Cohen's other Tweets
Here is the code in action. applause to newbie hackers!
See Ido Naor's other Tweets
De acordo com uma análise feita pela CyberArk , o arquivo que deveria ser baixado nos sistemas dos usuários era uma cepa de ransomware sem descrição que teria arquivos criptografados se os usuários já tivessem rodado .
O ataque de Nagich durou apenas algumas horas no sábado e o serviço recuperou o acesso a seus registros de DNS e parou de fornecer o código malicioso até o final do dia.
