עשרות אלפי גולשים ישראלים מותקפים באתרי סטרימינג

עשרות אלפי גולשים ישראלים מותקפים באתרי סטרימינג

אחוז הזיהויים של הנוזקה בישראל מתוך כלל הזיהויים. מתוך האתר www.virusradar.com

במהלך הימים האחרונים זיהו בחברת אבטחת המידע ESET עליה יוצאת דופן בכמות הזיהויים של נוזקה בשם JS/Chromex.Submelius אצל משתמשים בישראל ובעולם. מדובר ב25% מכלל הזיהויים בישראל בשבוע האחרון, שהם מאות אלפי התקפות שנחסמו במהלך השבוע האחרון אצל גולשים בישראל. מה שאומר שאם המחשב שלכם לא מוגן, סביר להניח שנדבקתם. בעולם מגיעה הנוזקה ל 15% מהזיהויים, מה שמצביע על מיליוני התקפות שנחסמות מידי שבוע ברחבי העולם. 

קאמילו גוטיירז אמאייה, מנהל המחקר של ESET באמריקה הלטינית, מדגים כיצד תוקפת הנוזקה את הגולשים ברחבי העולם וגם בישראל (כמובן שהשפה מותאמת לשפת הדפדפן במקרה של ההדגמה בספרדית). ניתן למצוא דוגמא לדרך שבה הנוזקה תוקפת באתר פופולרי לצפייה בסטרימינג. ברגע שילחץ הגולש על הכפתור שכביכול מפעיל את הסרט, נפתח חלון נוסף בדפדפן.

לטובת הקוראים שלא התנסו בצפייה באתרי צפייה ישירה, ההתנהגות של פתיחת חלון נוסף בהפעלת הסרט אינה יוצאת דופן ואפילו צפויה ו"נורמלית", כאשר נפתחים חלונות שונים עם התראות בסגנון "viruses have been detected" או פרסומות בסגנון "work from home and earn money". במקרה הזה הדפדפן אינו מפנה לדף נוסף עם פרסומת כפי שקורה בדרך כלל, אלא מוביל לאתר שבו מתבקש הגולש לאפשר הודעה שלא תיעלם או תיסגר בשום צורה עד שהגולש לוחץ "OK".

ההפניה שקורית באותו הרגע ברקע מבקשת מהגולש להוריד ולהתקין תוסף לכרום שמגיע מחנות האפליקציות הרשמית של גוגל, דבר שיוריד את החשדות של מרבית הגולשים. אם יאשר הגולש את ההתקנה, יופיע רווח ריק במקום שלפני כן הופיע הסמל של תפריט ההגדרות של כרום. אם הגולש ילחץ עליו, הוא יופנה לתוסף נוסף בחנות האפליקציות של גוגל. ניתן לראות שיש רק 3 המלצות על התוסף, שכנראה נכתבו ע"י התוקפים דרך פרופילים מזויפים.

מה קורה למי שבכל זאת מתקין את התוסף?

בשלב זה, הסרט או הסדרה בסטרימינג יופעלו, ומבחינת הגולש הכול תקין ואפשר להכין פופקורן – אבל בינתיים ברקע הדפדפן שלו הודבק. אם נתבונן בהרשאות שיש לתוסף שהותקן, נראה שהוא יכול לקרוא ולשנות מידע באתרים שבהם מבקר הגולש. ההרשאה משאירה פרצה לתוקפים שמאפשרת להם לשתול קוד זדוני בכל אתר שנפתח בכרום.

כך ניתן יהיה לראות שזמן הגלישה באינטרנט ייפתחו לפתע חלונות עם מידע על המערכת, שאישור או סגירה שלהם יוביל לאתרים נוספים בהם יוכלו התוקפים לבחור בקוד הזדוני או פרסומות שיתקפו את הגולש. התוצאה היא "לופ" אינסופי שבו נפתחים עוד ועוד חלונות עם פרסומות, התקפות כופר או גניבת פרטי אשראי.

"ניתן לראות שהאיום Submelius ממשיך לתקוף מספר רב של גולשים בישראל גם ברגעים אלה" אומר אמיר כרמי, מנהל הטכנולוגיות של ESET בישראל. "בישראל ישנם משתמשים רבים הצופים בתכנים בצפייה ישירה ולכן חשוב להקפיד על עירנות ברשת ולהיזהר באתרי סטרימינג, טורנטים ושיתוף קבצים, במיוחד כאשר הם מבקשים התקנה של תוסף לדפדפן."