Очень необычный ботнет удалось обнаружить Брайану Кребсу. Вредоносная программа распространялась под видом расширения для Firefox. За полгода с мая 2013-го расширение установили как минимум 12 500 раз, если верить скриншоту административной панели.

После установки программа пыталась осуществить SQL-инъекции практически на всех сайтах, которые посещал пользователь. В дальнейшем злоумышленники использовали зараженные сайты для атак типа drive-by, то есть для дальнейшего увеличения армии ботов.

Ботнет из 12 500 компьютеров сумел обнаружить как минимум 1800 уязвимых сайтов, подходящих для SQL-инъекции.

Хозяева ботнета называли его Advanced Power, а само расширение распространялось под видом Microsoft .NET Framework Assistant, как одноименное расширение от Microsoft.

Кстати, в базе расширений для Firefox есть и легальное расширение SQL Inject Me, которое в фоновом режиме тестирует сайты на уязвимости к SQL-инъекциям.

Образец вредоносной программы можно найти в базе Malwr.com. По мнению специалистов, фальшивое расширение могли написать хакеры из Чехии, потому что в исходном коде присутствует несколько комментариев на чешском языке.



Оставить мнение