Žebříček

Zdravím všechny, Dnes od 12h do 20h byl každý návštěvník Pawna blokován "google captcha" dialogem. Byl to cílený útok přes Cloudflare, který měl za cíl donutit uživatele ke spuštění scriptu na jeho lokální mašině. Útok byl zřejmě cílený na Windows, proto se zřejmě zobrazil jen uživatelům na Windows (nemám od nikoho info, že by se dialog zobrazoval na linuxu, Macu nebo telefonech). Pokud kdokoliv z vás provedl tyto instrukce - zřejmě jste si do PC zanesli malware. Nejspíš to krade aktivní browser sessions a databáze hesel + vytěží celou user složku. Pokud tomu poskytnete elevaci práv, tak to nejspíš začne šifrovat soubory na discích. Nezkoumal jsem co to chce spouštět za skript, ani co to stahuje za bordel - po nahlášení jsem se snažil o co nejrychlejší eliminaci šíření. Celý incident pramení z mojí blbosti - před půl rokem jsem stáhnul a spustil binárku instalátoru stažený z githubu open source projektu, který byl falešný. Stihlo mi to také ukrást databázi hesel - měla být šifrovaná a zřejmě nebyla dostatečně, nebo to dokázalo vykrást něco někde jinde zapomenutého (můj cloudflare účet nepoznal změnu hesla několik let). Nyní jsem již týden pod manuálním útokem někoho, kdo tu ukradenou DB projíždí a snaží se dělat brikule všude možně. Šance, že se někomu povedlo provést kroky z instrukcí je sice malá (protože tlačítko "I" v české lokalizaci nedělá nic - cmd.exe se spouští tlačítkem "T"), ale i přesto radši píšu tento topic i jako varování před falešnými opensource projekty na githubu. I pouhé spuštění a ve vteřině je vytěženo. Malware se aktivuje až u 4. kroku! Pokud nedošlo k od-entrování, nic nebylo spuštěno a k infekci nedošlo! Tímto končím hlášení a sypání popelu na svojí hlavu. Stahujte s rozmyslem, zkoumejte pravost (dvakrát meř a jednou řež) a nespouštějte jakoukoliv kravinu, ať už vás do ní přemlouvá kdokoliv.