Популярная система управления контентом PHP-Nuke, некогда бывшая открытым
продуктом, а сейчас превратившаяся в коммерческое ПО, стала очередной целью
атаки хакеров.
Как сообщают исследователи Websense, официальный сайт этой системы,
phpnuke.org, был скомпрометирован и теперь содержит несколько вредоносных
эксплоитов:
Злоумышленники, внедрившие опасный код в страницы авторитетного ресурса,
пытаются использовать две задокументированные уязвимости в Internet Explorer и
одну брешь в Adobe Reader. Делают они это путем установки iFrame и
перенаправления посетителей через серию веб-сайтов, в конечном итоге приводящих
на специально созданный ресурс с эксплоитами.
Первые два из них пытаются установить на ПК жертвы загрузчик троянов, а
последний эксплоит по сути является комбинацией из трех эксплоитов для PDF. Вот
что пишут о нем сами исследователи:
“Сначала JavaScript на HTML-странице проверяет Adobe Reader на наличие
уязвимости, анализируя номер версии. Если этот номер попадает в диапазоны между
7 и 7.1.4, 8 и 8.1.7 или 9 и 9.4, эксплоит загружает вредоносный файл PDF, в
котором при его запуске через Adobe Reader автоматически срабатывает опасный
ActionScript. Этот замаскированный ActionScript содержит три эксплоита для PDF,
которые он использует в зависимости от обстоятельств”.
По словам экспертов, если хотя бы один из них срабатывает успешно, на
компьютер пользователя устанавливается упомянутый выше загрузчик троянов.
