Известный специалист по безопасности Данчо Данчев (Dancho Danchev) рассказал, как злоумышленники автоматизировали рутинные операции по массовому инфицированию уязвимых серверов.
Вкратце, алгоритм выглядит так: ищут уязвимые серверы, на которых размещается максимальное количество доменов (желательно больше тысячи), а затем внедряют вредоносный iFrame в каждый файл .php/.html/.js, который удалось обнаружить на этих доменах.
В проведении подобных операций помогают самодельные модули для Apache 2.x, которые Данчо Данчев обнаружил в продаже по цене около $1000. Судя по имеющимся свидетельствам, эти модули уже использовались для проведения ряда атак, о которых сообщали антивирусные компании. Специалист говорит, что использование такого модуля делает практически невозможным для веб-мастера устранение инфекции с сайта. В то же время миллионы пользователей подвергаются атаке drive-by с использованием эксплойт-паков вроде Blackhole, что приносит злоумышленникам тысячи долларов прибыли. Речь идёт об использовании скрытых модулей Apache, которые работают вместе с руткитом для Linux.
Особенностью такого модуля является то, что Apache выдаёт вредоносные фреймы только посетителям сайта с подходящим сочетанием cookies+IP, чтобы затруднить обнаружение. Он никак не проявляет себя перед поисковыми ботами, посетителями с локальных IP, пользователями браузера Chrome и операционной системы Linux.
Ниже опубликован скриншот с одного из формуов, который продаёт подобные инструменты (кликабельно).
Автор также публикует статистику по эффективности данного модуля при распространении фальшивых антивирусов, которые собирают плату с пользователей.
В конце концов, полученный трафик можно продавать. На следующем скриншоте показаны текущие тарифы за приведённых пользователей из разных стран.
