Эксперты SophosLabs обнаружили веб-сайт в России, продающий наборы шпионского
ПО под названием WebAttacker стоимостью пятнадцать долларов США. На сайте,
созданном разработчиками шпионского и рекламного ПО, рекламируются достоинства
этих наборов, которые можно купить через онлайн-доступ, и предлагается
техническая поддержка покупателям.
В состав наборов входят скрипты, разработанные для упрощения задачи
инфицирования компьютеров – покупатель рассылает сообщения по адресам
электронной почты и приглашает получателей посетить взломанный веб-сайт. В
образцах, обнаруженных сетью станций слежения компании Sophos, для завлечения
внимания неосторожных пользователей использовались "горячие" новостные темы.
Так, в одном из писем сообщалось о смертельно опасном вирусе птичьего гриппа
H5N1, и давалась ссылка на подложный сайт, который будто бы содержал советы, как
защитить "себя и свою семью". Другое письмо извещало, что Слободан Милошевич был
убит, и приглашало пользователей посетить сайт для получения более подробной
информации. Эти веб-сайты далее выполняли дистанционную загрузку вредоносного
кода на ПК пользователя, используя известные уязвимости веб-обозревателя и
операционной системы. "Этот тип поведения знаменует возврат тех, кого мы
называли скрипт-киддерами", – сказала Кароль Терио, старший консультант по
вопросам безопасности компании Sophos. – "Упрощая задачу потенциальному хакеру и
делая столь дешевым приобретение этих скриптов, подобные сайты будут привлекать
авантюристов, не обладающих достаточными собственными знаниями, и превращать их
в киберпреступников". Код на языке JavaScript, размещенный на инфицированном
веб-сайте, определяет какая версия браузера и операционной системы используется
на посещающем компьютере, включая все установленные обновления систем
безопасности, и запускает наиболее подходящий эксплоит для вторжения. Далее
эксплоит загружает программу, которая пытается отключить межсетевой экран и
установить вредоносное ПО, обычно предназначенное для похищения паролей,
регистрации клавиатурного ввода, или для проникновения в банковские системы при
помощи трояна.
