Предупреждение: "зеркала" флибусты

Опубликовано сб, 28/06/2025 - 10:40 пользователем sd
Forums: 
Трёп

Тут
https://www.securitylab.ru/news/560770.php

Заливальщикам: если вы заливаете найденные на "зеркалах" книги - проверте их сперва на вирустотал.

Аватар пользователя Isais

Опубликовано сб, 28/06/2025 - 13:29 пользователем Isais

Отвечаю, чтобы старт-пост был виден в ленте комментов.

Суть дела: «Ресурс содержал встроенный вредоносный скрипт, распространяющий майнеры. Анализ показал, что он адаптируется под тип устройства: если пользователь заходит с телефона — происходит кража паролей, если с компьютера — загружается майнер. В случае с ПК скрипт инициирует загрузку архива с вредоносным ПО, который маскируется под книгу.
В рамках расследования специалисты ЦК F6 выявили цепочку аналогичных сайтов, участвующих в кампании: flibusta[.]one, flibusta[.]top, mir-knig[.]xyz, litmir[.]site. Кроме того, аналогичные вредоносные скрипты были обнаружены и на других ресурсах, включая иностранные сайты, что указывает на взлом и заражение серверов». (И flibusta[.]su -- тоже.
*подумав* Может, и либрусек.PRO -- тоже? Потому и пропал с горизонта?).

Техническая сторона: я правильно понимаю, что паразитный скрипт монтируется в код файла FB2? Или жертвы скачивают какие-то другие форматы, архивы с несколькими файлами?

Опубликовано вс, 29/06/2025 - 02:03 пользователем sd

То же заинтересовало, спросил:
В самом фб2 может быть только в картинке - jpg. Может прятаться в pdf. Ну и сам архив. Картинка и пдф - опасность низкая, так как современные читалки блокируют исполнение несанкционированных действий. (Спросить про конкретные читалки не получилось, не было времени). Большую опасность несёт архив.

Опубликовано вс, 29/06/2025 - 02:12 пользователем sd

Спрашивал у Qwen и Perplexity

Опубликовано пн, 30/06/2025 - 16:44 пользователем medved

Fb2 — это XML, туда вмонтироваться невозможно. Жертвы скачивают zip, который подвержен такой проблеме, как ZipSlip. Как избежать? Не скачивайте с левых зеркал.
X