Evilgrade - aktualizacje, które szkodzą

Internetowi przestępcy znaleźli nowy sposób na atakowanie użytkowników komputerów - w Sieci pojawił się właśnie exploit o nazwie Evilgrade, którego zadaniem jest dostarczanie złośliwego kodu za pośrednictwem mechanizmów aktualizacyjnych popularnych aplikacji.

Evilgrade zaprojektowany został jako wielomodułowy , który każdy użytkownik może dopasować do swoich potrzeb. Już teraz exploit potrafi podłączyć się do mechanizmów aktualizacyjnych kilku popularnych aplikacji (m.in. pluginu Java do przeglądarek, WinZipa, , iTunes, OpenOffice'a) oraz systemu operacyjnego Mac OS X. Otwarta struktura Evilgrade'a sprawia jednak, że wkrótce możemy się spodziewać kolejnych "wtyczek", rozszerzających możliwości tego oprogramowania.

Ogólnie rzecz ujmując, działanie exploita jest niezmiernie proste - podszywa się on pod legalny serwer z uaktualnieniami i gdy jakaś podatna na taki atak aplikacja (czyli np. jakiś program z powyższej listy) wyśle zapytanie o nowe poprawki, Evilgrade zaczyna przesyłać do niej złośliwy kod. Może to być koń trojański, botworm czy klasyczny robak - cokolwiek.

Na szczęście nie jest tak, że na taki atak narażony jest każdy internauta - aby możliwe było wykorzystanie Evilgrade'a, "napastnik" musi przecież przekierować ruch z danego komputera. Zadanie to nie jest jednak szczególnie skomplikowane dla osoby dysponującej odpowiednią wiedzą - szczególnie łatwo można to zrobić wykorzystując ujawnioną niedawno lukę w systemie Domain Name Server (pisaliśmy o tym w tekście "Patch dla Intertnetu - luka w DNS załatana").

Na razie nie odnotowano żadnych prób ataków z wykorzystaniem nowego exploita - specjaliści ds. bezpieczeństwa obawiają się, że jest to tylko kwestia czasu. Takie ataki najprawdopodobniej nie będą skierowane przeciwko ogółowi internautów - bardziej prawdopodobne jest, że przestępcy będą korzystali z Evilgrade'a podczas operacji, których celem będą pojedyncze, starannie wybrane osoby.