Хакерская утилита Web Attacker Toolkit, распространяющаяся через один из
российских сайтов, используется уже более чем тысячей вредоносных веб-ресурсов,
сообщает антивирусная компания Websense. По данным компании, утилита проникает
на машины через одну из семи незакрытых уязвимостей в браузерах Internet
Explorer и Firefox.
Хакеры могут приобрести Web Attacker Toolkit всего за 15-20 долларов,
предупреждают в Websense. Утилита имеет интерфейс, схожий с легальным
программным продуктом и таким образом привлекает к себе ничего не подозревающих
пользователей. «Она помещает на сайт часть кода, который определяет не только,
какой браузер установлен у пользователя, но и выбирает одну из семи уязвимостей
для проникновения на машину. Выбор уязвимости зависит от того, насколько хорошо
“залатан” браузер», — пояснил директор по исследования и безопасности Websense
Дэн Хаббард. Следующий этап атаки — установка на компьютер троянца, которая уже
не требует никакого вмешательства пользователя. Речь идет о так называемой
drive-by download загрузке. Троянец может считывать логи клавиатуры,
устанавливать дополнительные программы или открывать в системе бэкдоры. «Что
интересно, на всех сайтах, распространяющих эту утилиту, есть администраторская
консоль с системой статистики. Нам удалось сделать пару скриншотов этой
консоли», — сказал Хаббард. Согласно скриншотам, один из сайтов, приведенных
Websense для примера, привлек к себе внимание 51896 пользователей. 76 процентов
этих людей использовали Microsoft Internet Explorer, 12 процентов — Firefox,
остальная доля приходится на пользователей с неустановленным типом браузера.
Впрочем, указанный сайт использовал лишь 4 из 7 уязвимостей, и все они
относились к IE. Наиболее удачной для хакеров оказалась уязвимость в виртуальной
машине Microsoft, описанная в бюллетене MS03-11 в апреле 2003 года. Таким
образом, используя брешь 3-летней давности, вредоносный сайт заразил 1773
компьютера. «И это лишь один сайт. В совокупности эти ресурсы поразили десятки,
если не сотни тысяч систем», — отметил Хаббард. Другим удачным орудием для
хакеров оказалась уязвимость, связанная с обработкой вызова createTextRange и
обнаруженная в марте. Microsoft выпустил патч для нее 11 апреля. Это не помешало
хакерам атаковать через эту брешь 1507 компьютеров.