Evilgrade - aktualizacje, które szkodzą

Internetowi przestępcy znaleźli nowy sposób na atakowanie użytkowników komputerów - w Sieci pojawił się właśnie exploit o nazwie Evilgrade, którego zadaniem jest dostarczanie złośliwego kodu za pośrednictwem mechanizmów aktualizacyjnych popularnych aplikacji.

Evilgrade zaprojektowany został jako wielomodułowy framework, który każdy użytkownik może dopasować do swoich potrzeb. Już teraz exploit potrafi podłączyć się do mechanizmów aktualizacyjnych kilku popularnych aplikacji (m.in. pluginu Java do przeglądarek, WinZipa, WinAmpa, iTunes, OpenOffice'a) oraz systemu operacyjnego Mac OS X. Otwarta struktura Evilgrade'a sprawia jednak, że wkrótce możemy się spodziewać kolejnych "wtyczek", rozszerzających możliwości tego oprogramowania.

Ogólnie rzecz ujmując, działanie exploita jest niezmiernie proste - podszywa się on pod legalny serwer z uaktualnieniami i gdy jakaś podatna na taki atak aplikacja (czyli np. jakiś program z powyższej listy) wyśle zapytanie o nowe poprawki, Evilgrade zaczyna przesyłać do niej złośliwy kod. Może to być koń trojański, botworm czy klasyczny robak - cokolwiek.

Na szczęście nie jest tak, że na taki atak narażony jest każdy internauta - aby możliwe było wykorzystanie Evilgrade'a, "napastnik" musi przecież przekierować ruch z danego komputera. Zadanie to nie jest jednak szczególnie skomplikowane dla osoby dysponującej odpowiednią wiedzą - szczególnie łatwo można to zrobić wykorzystując ujawnioną niedawno lukę w systemie Domain Name Server (pisaliśmy o tym w tekście "Patch dla Intertnetu - luka w DNS załatana").

Na razie nie odnotowano żadnych prób ataków z wykorzystaniem nowego exploita - specjaliści ds. bezpieczeństwa obawiają się, że jest to tylko kwestia czasu. Takie ataki najprawdopodobniej nie będą skierowane przeciwko ogółowi internautów - bardziej prawdopodobne jest, że przestępcy będą korzystali z Evilgrade'a podczas operacji, których celem będą pojedyncze, starannie wybrane osoby.


Zobacz również