Как показывает исследование Google, инфекция, которая заставляет плохо
настроенные веб-сайты незаметно атаковать посетителей вирусами, уже поразила
почти 614 тысяч страниц.
В прошлую среду исследователями из Armorize была раскрыта массовая инфекция,
которая перенаправляет пользователей на сайт, взламывающий старые версии
Java Oracle, Adobe Flash Player и различные браузеров. В то время заражёнными
оказались около 180 000 страниц. А уже в прошлую пятницу начальная атака и
соответствующий эксплойт можно было найти на 613 890 страницах. SQL-инъекция в
основном нацелена на сайты, работающие на основе технологии ASP.Net.
Вредоносное ПО инжектирует код в веб-сайты ресторанов, больниц и других малых
предприятий и заводов, незаметно перенаправляя посетителей на такие сайты, как
jjghui.com и nbnjkl.com. Те сайты, в свою очередь, перенаправляются на другие
сайты, которые содержат очень запутанный код. К концу этой цепочки получается
коктейль из атак, использующих известные уязвимости в Java и других программах.
Компьютеры, работающие на устаревших версиях оказываются заражёнными. Серверы,
участвующие в атаке использовали IP-адреса из США и России.
Декодированный скрипт генерирует iframe на strongdefenseiz.in, который
перенаправляет на safetosecurity.rr.nu
Согласно анализу VirusTotal, в среду только 6 из 43 антивирусов обнаруживали
атаку. Неизвестно, улучшились ли результаты с тех пор или нет.
