Xakep #305. Многошаговые SQL-инъекции
Сайты более 100 российских компаний могли быть взломаны в результате новой мошеннической рассылки, сообщает «Лаборатория Касперского». Злоумышленники целенаправленно атаковали администраторов сайтов. Целью этой кампании было заражение ресурсов, которыми управляют жертвы.
Злоумышленники выдавали себя за регулирующий орган и рассылали мошеннические уведомления о необходимости подтвердить факт управления доменным именем. В фальшивом письме приводится инструкция, согласно которой нужно создать в корневой директории сайта файл с определенным содержимым, а на самом деле — запустить бэкдор, написанный на языке PHP. Если жертва соглашалась, злоумышленники получали доступ к управлению сайтом: получали возможность создавать страницы, размещать любую информацию, загружать файлы.
К настоящему моменту «Лаборатория Касперского» обнаружила около 4000 таких писем, отправленных более чем на 2000 email-адресов. Пик рассылки пришелся на 16-17 апреля, но сообщения продолжают приходить и по сей день.
По мнению экспертов, рассылка направлена в основном на владельцев и сотрудников малого бизнеса. Судя по всему, злоумышленники рассчитывают на то, что у целей недостаточно знаний в области ИТ и управления сайтами, чтобы оценить ущерб от выполнения действий, о которых говорится в инструкции.
«Администраторы сайтов часто подвергаются атакам, например, у них вымогают деньги путем рассылки фейковых уведомлений о близящемся сроке завершения аренды сайта. Но на этот раз цель атаки — получение доступа к управлению сайтами. Злоумышленники прилагают все усилия, чтобы убедить получателей в подлинности письма: отправителем значится регулирующий орган, для усиления эффекта добавлена соответствующая эмблема. Кроме того, чтобы не дать получателю время заподозрить неладное, от него требуют выполнить инструкцию в сжатые сроки, — рассказывает Александр Лискин, руководитель лаборатории антивирусных исследований «Лаборатории Касперского». — Мы настоятельно рекомендуем сохранять бдительность при получении сообщений от незнакомых отправителей в электронной почте и мессенджерах и перепроверять информацию якобы от официальных органов».