Интернет-магазин IT-услуг
Новости
12.04.2018
Тысячи взломанных сайтов заражают компьютеры посетителей зловредным ПО

 На днях стало известно о том, что команда злоумышленников взломала несколько тысяч различных сайтов, загрузив malware на серверы. Сделано это для того, чтобы заражать пользовательские ПК в момент посещения их владельцами скомпрометированного ресурса. Взломы проведены не вчера, кампания была тщательно замаскирована, и проводилась минимум несколько месяцев назад. 

В основном поражались ресурсы на таких CMS, как WordPress, Joomla и SquareSpace. Информацию о случившемся предоставил специалист по информационной безопасности Джером Сегура, работающий в компании Malwarebytes. Хакеры, по его словам, поступили достаточно предусмотрительно. Зараженные сайты показывали посетителям сообщения о необходимости установить обновление для Firefox, Chrome или Flash. 

Для того, чтобы избежать обнаружения, каждый IP, с которого отправлялись фальшивые уведомления, использовался не более одного раза для одного посетителя. Кроме того, шаблоны уведомлений загружались на сервера взломанных сайтов, так что большая часть данных поступала именно с «белого» ресурса, не занесенного ни в одну из баз фишинговых или опасных по иным причинам адресов. 

Интересно, что те, кто соглашался с обновлением и кликал по сообщению, автоматически становились жертвами зловредного JavaScript-файла, загружаемого из DropBox. Этот скриптик в дальнейшем искал наличие присутствие признаков виртуальной машины или «песочницы», и если ничего такого не обнаруживалось, то начиналась загрузка уже финального зловреда, исполняемого файла, подписанного валидным цифровым сертификатом. 

Такая тактика дала неплохие результаты — уведомление мало у кого вызывало подозрения (не будем все же забывать, что большинство пользователей — вовсе не специалисты по информационной безопасности), так что вирус поражал тысячи систем. И, кстати, JavaScript файл был обфусцирован, так что его анализ обычными методами затруднен. Кроме него злоумышленники использовали такие программное обеспечение, как банковский зловред Chthonic и затрояненная версия NetSupport — это вообще «белое» приложение, которое в обычной ситуации дает удаленный доступ к системе пользователя.
На днях стало известно о том, что команда злоумышленников взломала несколько тысяч различных сайтов, загрузив malware на серверы. Сделано это для того, чтобы заражать пользовательские ПК в момент посещения их владельцами скомпрометированного ресурса. Взломы проведены не вчера, кампания была тщательно замаскирована, и проводилась минимум несколько месяцев назад. 

В основном поражались ресурсы на таких CMS, как WordPress, Joomla и SquareSpace. Информацию о случившемся предоставил специалист по информационной безопасности Джером Сегура, работающий в компании Malwarebytes. Хакеры, по его словам, поступили достаточно предусмотрительно. Зараженные сайты показывали посетителям сообщения о необходимости установить обновление для Firefox, Chrome или Flash. 

Для того, чтобы избежать обнаружения, каждый IP, с которого отправлялись фальшивые уведомления, использовался не более одного раза для одного посетителя. Кроме того, шаблоны уведомлений загружались на сервера взломанных сайтов, так что большая часть данных поступала именно с «белого» ресурса, не занесенного ни в одну из баз фишинговых или опасных по иным причинам адресов. 

Интересно, что те, кто соглашался с обновлением и кликал по сообщению, автоматически становились жертвами зловредного JavaScript-файла, загружаемого из DropBox. Этот скриптик в дальнейшем искал наличие присутствие признаков виртуальной машины или «песочницы», и если ничего такого не обнаруживалось, то начиналась загрузка уже финального зловреда, исполняемого файла, подписанного валидным цифровым сертификатом. 

Такая тактика дала неплохие результаты — уведомление мало у кого вызывало подозрения (не будем все же забывать, что большинство пользователей — вовсе не специалисты по информационной безопасности), так что вирус поражал тысячи систем. И, кстати, JavaScript файл был обфусцирован, так что его анализ обычными методами затруднен. Кроме него злоумышленники использовали такие программное обеспечение, как банковский зловред Chthonic и затрояненная версия NetSupport — это вообще «белое» приложение, которое в обычной ситуации дает удаленный доступ к системе пользователя.На днях стало известно о том, что команда злоумышленников взломала несколько тысяч различных сайтов, загрузив malware на серверы. Сделано это для того, чтобы заражать пользовательские ПК в момент посещения их владельцами скомпрометированного ресурса. Взломы проведены не вчера, кампания была тщательно замаскирована, и проводилась минимум несколько месяцев назад. 

В основном поражались ресурсы на таких CMS, как WordPress, Joomla и SquareSpace. Информацию о случившемся предоставил специалист по информационной безопасности Джером Сегура, работающий в компании Malwarebytes. Хакеры, по его словам, поступили достаточно предусмотрительно. Зараженные сайты показывали посетителям сообщения о необходимости установить обновление для Firefox, Chrome или Flash. 

Для того, чтобы избежать обнаружения, каждый IP, с которого отправлялись фальшивые уведомления, использовался не более одного раза для одного посетителя. Кроме того, шаблоны уведомлений загружались на сервера взломанных сайтов, так что большая часть данных поступала именно с «белого» ресурса, не занесенного ни в одну из баз фишинговых или опасных по иным причинам адресов. 

Интересно, что те, кто соглашался с обновлением и кликал по сообщению, автоматически становились жертвами зловредного JavaScript-файла, загружаемого из DropBox. Этот скриптик в дальнейшем искал наличие присутствие признаков виртуальной машины или «песочницы», и если ничего такого не обнаруживалось, то начиналась загрузка уже финального зловреда, исполняемого файла, подписанного валидным цифровым сертификатом. 

Такая тактика дала неплохие результаты — уведомление мало у кого вызывало подозрения (не будем все же забывать, что большинство пользователей — вовсе не специалисты по информационной безопасности), так что вирус поражал тысячи систем. И, кстати, JavaScript файл был обфусцирован, так что его анализ обычными методами затруднен. Кроме него злоумышленники использовали такие программное обеспечение, как банковский зловред Chthonic и затрояненная версия NetSupport — это вообще «белое» приложение, которое в обычной ситуации дает удаленный доступ к системе пользователя.Специалисты из Malwarebytes не смогли точно определить, сколько именно веб-сайтов смогли скомпрометировать злоумышленники. Представители компании написали специальный скрипт-паук, который по определенными признакам «понимал» наличие заражения и сообщал об этом создателям. Он, в частности, показал, что сотни Wordpress и Joomla сайтов заражены. Проверить можно и самостоятельно вот по этому нехитрому запросу. Есть предположение, что кампания по распространению зловреда была запущена не позже 20 декабря прошлого года. Злоумышленники смогли заразить ресурсы, сервера или CMS которых не были обновлены. 
Статистика
Яндекс цитирования , Яндекс.Метрика