Специалисты «Лаборатории Касперского» рассказали об интересной находке: на многих популярных новостных ресурсах, включая РИА «Новости» и Газета.ру, обнаружен iframe, перенаправляющий пользователя на вредоносный сайт с Java-эксплойтом, находящийся в зоне .EU. Вредоносный код распространялся в тизерах сети AdFox.ru, через которую между сайтами организован обмен тизерами (новостными анонсами).

На скриншоте показан код скрипта, который внедряет тизеры AdFox на страницы сайтов СМИ.

Вышеупомянутый Java-эксплойт эксплуатирует уязвимость в Java (CVE-2011-3544), которая с ноября 2011 года используется злоумышленниками для атаки на пользователей MacOS и Windows.

В настоящее время эксплойты для этой уязвимости являются, пожалуй, самыми эффективными и входят в состав распространенных эксплойт-паков, сообщают специалисты «Лаборатории Касперского». Но в данном случае эксплойт был уникальным — он никогда не встречался ни в одном наборе.

Уникальной особенностью данного эксплойта является то, что в ходе его работы на жёсткий диск не записывается никаких файлов. Эксперт «Лаборатории Касперского» Сергей Голованов рассказывает, что происходит дальше:

Получив все необходимые привилегии на компьютере жертвы, эксплойт не устанавливает на диск вредоносную программу средствами Java, а использует полезную нагрузку для загрузки зашифрованной динамической библиотеки dll из Сети прямо в память процесса javaw.exe. При этом адрес для загрузки данной библиотеки указан в зашифрованном виде в iframe в JS скрипте с AdFox.ru:

<applet code=»Applet.class» archive=»/0GLMFss»><param name=»cookie» value=»j::eHff8dCis:ys4iNfnUWP7yy»></applet>

После успешного инжекта и запуска вредоносного кода (dll) Java начинает отправлять на сторонние ресурсы запросы, имитирующие запросы к поисковой системе Google, вида «search?hl=us&source=hp&q=%s&aq=f&aqi=&aql=&oq=»…

В данных запросах содержатся данные об истории посещения сайтов из браузера пользователя и ряд дополнительной служебной информации с заражённой системы.

«Бестелесная» вредоносная программа функционирует как бот: после серии запросов к серверу управления и полученных с сервера ответов эксплойт отключает несколькими способами UAC (User Account Control), и бот может установить на заражённый компьютер троянскую программу Lurk. При этом решение, устанавливать ли в систему Lurk, принимается на стороне сервера злоумышленников.

Анализ дополнительных модулей Lurk выявил главный функционал этой вредоносной программы: хищение конфиденциальной информации пользователей для доступа к системам онлайн-банкинга ряда крупных российских банков. ЛК детектирует данную программу c июля 2011 года. Анализируя протокол взаимодействия Lurk с серверами управления, мы выяснили, что в течение нескольких месяцев эти серверы обслужили до 300 000 заражённых компьютеров.



Оставить мнение