Московский JavaScript-ботнет подделывает результаты гуглопоиска

Всё большее число веб-сайтов оказываются зараженными троянской программой, использующейся для фальсификации результатов поисковых запросов к сервису Google. Специалисты по кибербезопасности отмечают необычайно высокую скорость распространения этого трояна в сравнении с аналогами, сообщает The Register.

Речь идёт о вредоносном коде, который в компании ScanSafe называют Gumblar — по имени домена gumblar.cn, откуда закачивает дополнительную киберзаразу последняя версия этого троянца.

Впервые его активность была замечена около двух месяцев назад. Проникнув на компьютер пользователя через зараженный JavaScript-кодом сайт (путём эксплуатации уязвимостей в Adobe PDF и Adobe Flash), вредонос мониторил трафик, пытаясь выцепить из него логины и пароли FTP-доступа. Таким образом, владельцы веб-сайтов, подхватив заразу где-то в Сети, автоматически ставили под угрозу собственные странички.

Прибыль злоумышленники извлекали хитро: троянец следил за запросами от зараженного компьютера к поисковой системе Google с использованием браузера Internet Explorer и на лету подменял ссылки в результатах своими, приводя пользователей на другие вредоносные и мошеннические сайты.

Обычно такого рода схема пресекается сравнительно быстро. Поначалу так было и в этот раз - в компании Google, получив тревожный сигнал от ScanSafe, начали исключать зараженные сайты из результатов поиска, а владельцы этих сайтов принялись активно вычищать заразу со своих страничек.

Однако авторы троянца предприняли защитные меры. В начале мая они начали заменять старые скрипты на зараженных ими сайтах более хитрыми - для каждого сайта вредоносный JavaScript генерировался заново, что чрезвычайно затруднило работу по выявлению зараженных сайтов. Буквально за неделю их количество выросло на 188%.

В конце прошлой недели специалисты Sophos отметили, что доля Gumblar (Troj/JSRedir-R в терминологии этой компании) составляет 42% от общего числа вредоносов, заразивших веб-сайты.

Очистка сайтов от этого трояна — задача нетривиальная: мало просто сменить пароли и убрать вредоносный код со страниц, надо ещё проверить всевозможные конфигурационные файлы. В частности, было замечено, что Gumblar вносит изменения в .htaccess, добавляет в папки с иллюстрациями файл image.php и т.п. Это позволяет злоумышленникам заново захватить якобы вылеченный ранее сайт.

В ScanSafe также отмечают, что домен gumblar.cn расположен по московскому IP-адресу (первоначальная версия вредоноса обращалась к компьютеру в Латвии). Кроме того, последняя модификация Gumblar устанавливает бэкдор для связи с давно известным координирующим центром ботнетов.

Ранее "Лаборатория Касперского" сообщила, что по результатам первого квартала 2009 года популярность платформы JS для заражения через Интернет превысила популярность Win32 и вышла на первое место (40% заражений). "Пользователи, осуществляющие веб-серфинг с постоянно включенной поддержкой JavaScript, оказывают неоценимую помощь авторам вредоносных программ, значительно облегчая им поиск потенциальных жертв заражения. В настоящее время целесообразно включать поддержку JavaScript лишь для доверенных сайтов", полагают эксперты.


Игорь Крейн, Вебпланета

Коды для вставки в блог\форум




Интересные новости
СБУ разоблачила 385 интернет-агитаторов, распространявших фейки о COVID-19 для нагнетания паникиСБУ разоблачила 385 интернет-агитаторов, распространявших фейки о COVID-19 для нагнетания паники
За неделю в Украине зафиксировали почти 11 тысяч кибератакЗа неделю в Украине зафиксировали почти 11 тысяч кибератак
Американская Horizon Capital купила долю украинского интернет-магазина косметикиАмериканская Horizon Capital купила долю украинского интернет-магазина косметики
20 лет тюрьмы и штраф $500 тысяч. Украинца в США задержали на киберпреступлениях20 лет тюрьмы и штраф $500 тысяч. Украинца в США задержали на киберпреступлениях
Google выплатит по $1000 всем сотрудникам, работающим из домаGoogle выплатит по $1000 всем сотрудникам, работающим из дома
Блок рекламы


Похожие новости

Google снова тестирует результаты поиска без URLGoogle снова тестирует результаты поиска без URL
Из-за сбоя в Google у многих пользователей отображаются не все результаты поискаИз-за сбоя в Google у многих пользователей отображаются не все результаты поиска
Searchmetrics: Google Diversity Update всё же повлиял на результаты поискаSearchmetrics: Google Diversity Update всё же повлиял на результаты поиска
Квартальные результаты Alphabet не оправдали ожиданий Уолл-стритКвартальные результаты Alphabet не оправдали ожиданий Уолл-стрит
«No-click поведение» и другие результаты из опроса среди пользователей Google«No-click поведение» и другие результаты из опроса среди пользователей Google
Google: GA и Google Ads не влияют на органические результаты поискаGoogle: GA и Google Ads не влияют на органические результаты поиска
DuckDuckGo обновил результаты поиска по запросам, связанным с погодойDuckDuckGo обновил результаты поиска по запросам, связанным с погодой
Google обновил результаты поиска по автомобильным запросамGoogle обновил результаты поиска по автомобильным запросам
Google: высокие результаты на Web.dev не гарантируют улучшений в ранжированииGoogle: высокие результаты на Web.dev не гарантируют улучшений в ранжировании
Google тестирует расширенные результаты для мероприятий на десктопахGoogle тестирует расширенные результаты для мероприятий на десктопах
Последние новости

Подгружаем последние новости