Согласно исследователям Armorize, простая ошибка нападавших помогла выявить
еще большее количество готовящихся атак на веб-страницы с внедрением
iFrame-кода, подготовка к которым шла полным ходом.
Незадачливые хакеры забыли включить тег <script> перед тем, как
встроить вредоносный код, что было проиндексировано и, впоследствии, обнаружено
системой Google. Первичное число зараженных доменов составило 22 400, более чем
536 000 зараженных страниц.
К сожалению, нападавшие устранили свою ошибку, и теперь Google не может
обнаружить этот скрипт, поэтому текущее число пострадавших страниц неизвестно.
Известно только, что скрипт проводит своих жертв через ряд сайтов и в конце
концов "приземляет" на страницу, где на машину пользователя пытается пробиться
эксплоит-пак BlackHole.
BlackHole использует уязвимые места Windows, Java, Adobe Reader и Flash
Player, чтобы загрузить лжеантивирус на компьютер своей жертвы. Вредоносная
программа немедленно активируется и начинает запугивать пользователя.
Фальшивый антивирус изменяет свое название в зависимости от операционной
системы, которую он обнаруживает в компьютере. Это может быть "XP Security 2012"
для Windows XP, "Vista Antivirus 2012" для Windows Vista, и "Win 7 Antivirus
2012" для Windows 7.
Согласно исследователям, перенаправляющие домены расположены в Молдове, а
сервер, с которого ведутся атаки – в США. Что касается того, как вполне
легальные сайты оказываются зараженными вредоносным iFrame-кодом, то ученые
полагают, что это происходит с помощью украденных FTP-данных.
К сожалению, процент выявления вредоносных сайтов очень низок – 11,6% на
Virus Total. Так что, лучший способ защитить себя от этой угрозы – вовремя
обновлять свое программное обеспечение, чтобы помешать установке вредоносного
ПО.
