Исследовательская лаборатория TrendLabs компании Trend Micro сообщает о серьезной эпидемии, затронувшей тысячи популярных итальянских сайтов. Вредоносный код, находящийся на зараженных сайтах, устанавливает на компьютер пользователя программу, способную похищать пароли и превращать компьютер в сервер, предназначенный для совершения зловредных атак. По данным TrendLabs, от заражения пострадало десятки тысяч пользователей по всему миру.
Подавляющее большинство пострадавших сайтов изначально находилось в Италии, однако очень быстро атака распространилась по всему миру. На зараженных сайтах размещен код, который направляет посетителей на сервер, где находится набор хакерских инструментов Mpack. С помощью этих эксплойтов фиксируется информация об атакуемых компьютерах, включая IP-адреса, а также какие уязвимости можно использовать для взлома. Примечательно, что Mpack можно приобрести на ряде русских сайтов примерно за 700 долларов США.
Ставшие опасными сайты охватывают широкий спектр интересов - от туризма, автомобилей, фильмов и музыки, налогов и услуг по трудоустройству до сайтов некоторых итальянских городских советов и отелей. Очевидно, большинство из этих сайтов использовали хостинг одного из крупнейших Интернет-провайдеров Италии. Не миновала сия участь даже сайты, связанные с Джоном Бон Джови и Матерью Терезой.
В течение 48 часов после начала эпидемии было взломано более 2 000 итальянских сайтов. Trend Micro регистрировала удвоение числа жертв каждые 6-8 часов. "Интернет-угрозы являются незаметными для незащищенных пользователей и поэтому более опасными, чем обычные вирусы. Злоумышленники используют несколько вредоносных программ для того, чтобы остаться незамеченными и установить финальную часть цепочки - программу регистрации клавиатурного ввода, которая предназначена для кражи такой персональной информации, как банковские данные и пароли", - заявил Иван Макалинтал (Ivan Macalintal), старший исследователь Интернет-угроз TrendLabs, компания Trend Micro.
Вредоносный код задействует уязвимость скриптов iFrames, которые широко используются при создании сайтов. Процесс заражения представляет собой сложную цепь:
1. URL первого уровня - зараженные или взломанные итальянские сайты. TrendLabs идентифицирует тег, который располагается на зараженных сайтах, как HTML_IFRAME.CU
2. Пользователи перенаправляются по специальному IP-адресу (HTML_IFRAME.CU) на сайт, где находится Javascript-загрузчик (JS_DLOADER.NTJ). Этот сайт имеет URL второго и третьего уровня. Пытаясь вызвать переполнение буфера в браузере пользователя, JS_DLOADER.NTJ использует уязвимости браузера.
3. С адреса уже четвертого уровня на сайты с URL третьего уровня загружается троянец, идентифицируемый Trend Micro как TROJ_SMALL.HCK. При первоначальном тестировании специалисты TrendLabs обнаружили, что этот вредоносный кода JavaScript распознает тип браузера и выбирает, какой уязвимостью воспользоваться.
4. Далее с адресов пятого уровня происходит загрузка троянцев TROJ_AGENT.UHL и TROJ_PAKES. TROJ_AGENT.UHL может действовать в качестве прокси-сервера, который позволяет удаленному пользователю анонимно подключаться к Интернету через зараженный компьютер. TROJ_PAKES.NC сохраняется во временной папке пользователя и загружает с URL шестого уровня программу-вора, которая регистрирует клавиатурный ввод компьютера - разновидность троянца SINOWAL.
Специалисты советуют корпоративным пользователям принимать следующие меры безопасности:
http://ru.trendmicro-europe.com