Malware f_0000ac
Stránka https://www.ghacks.net/ byla dnes napadena malwarem, který přesměroval přístup na celkem věrohodně vypadající stránku s motivem Edge, která pravila, že je pro plný přístup nutné updatovat Edge. Tlačítko Update ukazovalo podle stavového řádku dole v prohlížeči na https://www.microsoft.com/en-us/edge, což je skutečně existující stránka. Nicméně po kliknutí se odněkud stáhnul soubor f_0000ac, který Norton označil jako malware. Nevím, jak dál by prohlížeč s tím souborem pracoval.
Píšu to, protože se nedá spolehnout na link, který ukazuje stavový řádek dole v prohlížeči.
Nemáš náhodou Avast?
https://www.pconlife.com/viewfileinfo/f-0000ac/
Takže nám chceš říct, že lze podvrhnout jinou adresu webu než jaká se zobrazuje v adresním řádku? V jakém prohlížeči?
V Edge, ale ne v adresním řádku, ale v řádku dole na liště, kde se ukazuje link odkazu, a nejen to, ale neukazuje se soubor, v tomto případě f_0000ac, ale jen omezená podvržená adresa.
Jo, myslel jsem stavový řádek, špatně jsem to napsal. Edge nepoužívám, ale i tak mě udivuje, že to je možné.
Je to zvláštní, skoro bych si tipnul, že to není podvržené z venku, ale zevnitř, že už něco v PC má.
Ale je. Stačí troška JavaScriptu.
Měl bys nějaký příklad? Že bych to ozkoušel v různých prohlížečích, jak se to chová. Ten ghacks.net už to asi opravil, protože tam nic nebylo.
Není to dokonalý, ale většinu případů to asi pokryje:
https://jsfiddle.net/8tg42bhm/
Sorry, ale nerozumim tomu, jak se to dá použít.
Zajímá tě pravý dolní kvadrant. To je výsledná stránka s linkem.
Děkuju, všechny prohlížeče ve stavovém řádku zobrazí falešnou adresu, je teda jednoduché ji podvrhnout.
Akorát já mám zakázané rámce třetích stran přes uBlock, takže se mi to původně ve Vivaldi nezobrazilo.