Создатели вредоносных сайтов попались на использовании Twitter API для
скрытного перенаправления пользователей на свои ресурсы.
В данном случае речь идет о программируемом интерфейсе, который сайт
микроблогов Twitter предоставляет администраторам законопослушных сайтов для
того, чтобы они могли выводить на своих ресурсах самые популярные темы Twitter.
Поскольку предпочтения аудитории сайта постоянно меняются, меняется и состав
тридцати самых горячих тем.
Однако как выяснил эксперт в области безопасности Денис Синегубко,
злоумышленники также с удовольствием используют Twitter API в своих
замаскированных скриптах, которые служат для перенаправления жертв на
вредоносные сайты, пытающиеся подобрать эксплоиты к непропатченным уязвимостям
на компьютере пользователя. Для генерации имен вредоносных сайтов используется
темы, популярные два дня назад, поэтому у хакеров остается день на то, чтобы
зарегистрировать сгенерированное имя.
Синегубко пишет, что основной целью использования Twitter API является
намерение злоумышленников скрыть вредоносные скрипты и ссылки на ресурсы от
автоматизированных систем обнаружения. Все, что увидит такой сканер при
выполнении скрипта – это указание на популярные запросы на одном из самых
известных сайтов Интернета.
Впрочем, эксперт отмечает, что несмотря на всю свою креативность, на данный
момент этот механизм работает из рук вон плохо – из всего многообразия
сгенерированных доменных имен реально действующим сайтом оказался всего один, да
и тот был полон внутренних ошибок.