Новую онлайн-заразу связывают с RBN

Специалисты из Websense предупреждают о массовом заражении вебсайтов новым вредоносным кодом. К прошлой пятнице количество таких сайтов достигло 30 000, и их посещение может оказаться весьма пагубным для пользователей, сообщает The Register.

При открытии зараженного сайта паразитирующий JavaScript-код незаметно перенаправляет пользователя на сервер, который анализирует программное обеспечение его компьютера. В зависимости от результатов анализа производится попытка использовать одну или несколько из десятка различных уязвимостей и установить лже-антивирус. (Не уточняется, но, очевидно, речь идёт о Windows-системах.)

Если же пользователь попался сознательный, и выходит в Сеть с "заплатками", прикрывающими все эти дыры, его пытаются взять хитростью. Всплывающее окно пугает юзера сообщением о том, что его компьютер заражен, и предлагает установить "антивирус" самостоятельно.

Предполагается, что на сайты этот вредоносный код проникает за счёт использования какой-то известной уязвимости с помощью SQL-инъекцией. При этом встраиваемый скрипт маскируется под код Google Analytics, что затрудняет его обнаружение. Сам лже-антивирус является полиморфом, что также добавляет головной боли создателям настоящих антивирусов (по данным Virustotal от 29 апреля, эту заразу вычисляли только 4 из 39 антивирусных программ).

Также отмечается, что JavaScript активно использует цифровые коды вместо символов. Подобной техникой воспользовались и авторы недавних JavaScript-троянов Gumblar/Martuz, которые, по прикидкам Websense, захватили в короткий срок около 60 000 сайтов.

Однако, несмотря на некоторую схожесть, новый вредонос, как считают специалисты, не имеет отношения к Gumblar. Напротив, не исключена возможность, что он каким-то образом связан с русским хостингом RBN, которым зарубежные СМИ пугали общественность полтора года назад. На такую гипотезу сотрудников Websense натолкнуло использование той же тактики, которой придерживались в RBN: JavaScript, если его раскодировать, указывает на веб-адреса, очень похожие на легитимные домены Google Analytics.

"Возможно, что RBN как-то связан с этим или же, что более вероятно, поскольку тот код был опубликован, атакующие действуют в очень хитроумной манере, дублируя методы старых атак с целью скрыть собственные атаки", — полагают в Websense.


Игорь Крейн, Вебпланета





Интересные новости
Дети обмениваются порно-фото и выкладывают их в Сеть, а взрослые не понимают Интернет-слэнг
Марк Цукерберг раскритиковал "Социальную сеть"
Американских игроков начали сажать
1го апреля один из сайтов дошутился: на него подают в суд
Масоны онлайн
Блок рекламы


Похожие новости
Хакеры Armageddon совершили новую атаку на госорганы УкраиныХакеры Armageddon совершили новую атаку на госорганы Украины
Google запустила новую программу для украинских предпринимателей
Хакерская группа REvil, которую связывают с Россией, исчезла из даркнета
Около 200 американских компаний пострадали от кибератаки, которую связывают с роSSийскими хакерами
Twitter тестирует новую функцию, которая позволит делиться твитами только с близкими друзьями
Мошенники придумали новую схему кражи денег через Zoom
Конкурент Amazon. Facebook запустит новую функцию для онлайн-магазинов
Facebook анонсировал новую функцию для видеозвонков до 50 человек
Bing начал поддерживать новую разметку Schema для сообщений на тему COVID-19
YouTube тестирует новую функцию монетизации - "аплодисменты"
Последние новости
Подгружаем последние новости