Атака, мишенью которой стало популярное коммерческое онлайн приложение,
инфицировала почти 5 миллионов страниц скриптами, совершавшими попытку
установить вредоносную программу на компьютеры посетителей.
Массовая атака, в ходе которой взламывались сайты, использующие
непропатченные версии osCommerce - приложения для управления онлайн-магазином –
распространялась в течение прошлой недели. Когда исследователи из фирмы
безопасности Armorize впервые обнаружили ее 24 июля, результаты поиска Google
выдали, что инфицировано 91 000 веб-страниц. Во вторник те же результаты поиска
показали, что эксплойт распространился почти на 5 миллионов страниц.
Согласно Armorize, атака эксплуатирует, по меньшей мере, три уязвимости в
osCommerce, причем одна из них была обнаружена три недели назад. Уязвимости
позволили злоумышленникам использовать украинские IP-адреса для внедрения
iframes в уязвиммые веб-сайты. Iframes незаметно перенаправляет посетителей к
вредоносным файлам, расположенным на willysy.com и exero.eu. Эти доменные имена,
в свою очередь, направляют пользователей к сериям промежуточных сайтов, которые
в конечном итоге пытаются эксплуатировать несколько уязвимостей Windows.
Посетители, которые не установили патчи, оказываются взломанными, обычно без
каких-либо внешних признаков.
Видео, представленное ниже, демонстрирует атаку в действии.
На момент написания статьи, результаты поиска Google показывали, что 4.5
миллионов страниц инфицированы ссылками willysy.com и 415 000 страниц
– посредством exero.eu iframe.
