Очень необычный ботнет удалось обнаружить Брайану Кребсу. Вредоносная программа распространялась под видом расширения для Firefox. За полгода с мая 2013-го расширение установили как минимум 12 500 раз, если верить скриншоту административной панели.
После установки программа пыталась осуществить SQL-инъекции практически на всех сайтах, которые посещал пользователь. В дальнейшем злоумышленники использовали зараженные сайты для атак типа drive-by, то есть для дальнейшего увеличения армии ботов.
Ботнет из 12 500 компьютеров сумел обнаружить как минимум 1800 уязвимых сайтов, подходящих для SQL-инъекции.
Хозяева ботнета называли его Advanced Power, а само расширение распространялось под видом Microsoft .NET Framework Assistant, как одноименное расширение от Microsoft.
Кстати, в базе расширений для Firefox есть и легальное расширение SQL Inject Me, которое в фоновом режиме тестирует сайты на уязвимости к SQL-инъекциям.
Образец вредоносной программы можно найти в базе Malwr.com. По мнению специалистов, фальшивое расширение могли написать хакеры из Чехии, потому что в исходном коде присутствует несколько комментариев на чешском языке.
