Исследователи фирмы Websense предупредили в прошлую пятницу, что эксплоит,
целью которого является установка на компьютеры конечных пользователей целого
коктейля вредоносных программ, распространился по тридцати тысячам сайтов,
принадлежащим бизнес-структурам, правительственным агентствам и прочим
организациям. С опубликованной этими специалистами предварительной версией
руководства по решению проблемы можно ознакомиться
здесь.
В ходе атаки на главные страницы сайтов при помощи SQL-инъекции
устанавливается вредоносный JavaScript с замаскированным кодом, который
выглядит, как скрипт Google Analytics. Из-за обфускации выявить его весьма
проблематично.
После установки скрипт перенаправляет посетителей ресурса на специальный
сервер, который анализирует их машины на наличие десяти различных уязвимостей.
Если таковые не обнаруживаются, пользователь видит всплывающее окно,
уведомляющее его о том, что компьютер заражен и предлагающее установить
фальшивый антивирус. Код этого антивируса имеет полиморфную структуру и не
определяется большинством настоящих антивирусов.
Данный эксплоит имеет много общего с недавней массовой хворью, известной под
названием Gumblar
,которая так же вставляет на сайты замаскированные скрипты и уже успела заразить
около 60 000 веб-сайтов. Тем не менее, ряд отличий заставляет экспертов Websense
считать, что две этих атаки не связаны между собой.
После деобфускации становится видно, что скрипт указывает на клоны легальных
доменов Google Analytics, в названии которых умышленно сделаны орфографические
ошибки. Ранее такой тактикой отличалась RBN (Russian Business Network), поэтому
ее причастность или непричастность к данному случаю устанавливается.
