Исследовательская лаборатория TrendLabs компании Trend Micro, мирового лидера в области сетевых антивирусных программ, ПО и услуг для защиты контента, сообщает о серьезной эпидемии, затронувшей тысячи популярных итальянских сайтов. Вредоносный код, находящийся на зараженных сайтах, устанавливает на компьютер пользователя программу, способную похищать пароли и превращать компьютер в сервер, предназначенный для совершения зловредных атак. По данным TrendLabs, от заражения пострадало десятки тысяч пользователей по всему миру.
Подавляющее большинство пострадавших сайтов изначально находилось в Италии, однако очень быстро атака распространилась по всему миру. На зараженных сайтах размещен код, который направляет посетителей на сервер, где находится набор хакерских инструментов Mpack. С помощью этих эксплойтов фиксируется информация об атакуемых компьютерах, включая IP-адреса, а также какие уязвимости можно использовать для взлома. Примечательно, что Mpack можно приобрести на ряде русских сайтов примерно за 700 долларов США.
Ставшие опасными сайты охватывают широкий спектр интересов – от туризма, автомобилей, фильмов и музыки, налогов и услуг по трудоустройству до сайтов некоторых итальянских городских советов и отелей. Очевидно, большинство из этих сайтов использовали хостинг одного из крупнейших интернет-провайдеров Италии. Не миновала сия участь даже сайты, связанные с Джоном Бон Джови и Матерью Терезой.
В течение 48 часов после начала эпидемии было взломано более 2 000 итальянских сайтов. Trend Micro регистрировала удвоение числа жертв каждые 6-8 часов. «Интернет-угрозы являются незаметными для незащищенных пользователей и поэтому более опасными, чем обычные вирусы. Злоумышленники используют несколько вредоносных программ для того, чтобы остаться незамеченными и установить финальную часть цепочки – программу регистрации клавиатурного ввода, которая предназначена для кражи такой персональной информации, как банковские данные и пароли», – заявил Иван Макалинтал (Ivan Macalintal), старший исследователь интернет-угроз TrendLabs, компания Trend Micro.
Вредоносный код задействует уязвимость скриптов iFrames, которые широко используются при создании сайтов. Процесс заражения представляет собой сложную цепь:
1. URL первого уровня – зараженные или взломанные итальянские сайты. TrendLabs идентифицирует тег, который располагается на зараженных сайтах, как HTML_IFRAME.CU
2. Пользователи перенаправляются по специальному IP-адресу (HTML_IFRAME.CU) на сайт, где находится Javascript-загрузчик (JS_DLOADER.NTJ). Этот сайт имеет URL второго и третьего уровня. Пытаясь вызвать переполнение буфера в браузере пользователя, JS_DLOADER.NTJ использует уязвимости браузера.
3. С адреса уже четвертого уровня на сайты с URL третьего уровня загружается троянец, идентифицируемый Trend Micro как TROJ_SMALL.HCK. При первоначальном тестировании специалисты TrendLabs обнаружили, что этот вредоносный кода JavaScript распознает тип браузера и выбирает, какой уязвимостью воспользоваться.
4. Далее с адресов пятого уровня происходит загрузка троянцев TROJ_AGENT.UHL и TROJ_PAKES. TROJ_AGENT.UHL может действовать в качестве прокси-сервера, который позволяет удаленному пользователю анонимно подключаться к Интернету через зараженный компьютер. TROJ_PAKES.NC сохраняется во временной папке пользователя и загружает с URL шестого уровня программу-вора, которая регистрирует клавиатурный ввод компьютера – разновидность троянца SINOWAL.
Специалисты TrendLabs советуют корпоративным пользователям принимать следующие меры безопасности: Развернуть средства HTTP-сканирования. Учитывая преобладание интернет-угроз, настоятельно рекомендуется развернуть в крупных и средних сетях системы интернет-сканирования. Необходимо позаботиться о том, чтобы пользователи не могли их «обойти». Наиболее безопасный способ реализации такой системы заключается в принудительном перенаправлении всех интернет-запросов в сканирующее устройство или в запрете доступа. Такие меры наиболее эффективны в борьбе с вредоносным и шпионским ПО, поскольку Интернет становится точкой входа номер один в корпоративную сеть. Не позволять ненужным протоколам входить в корпоративную сеть. Наиболее опасными из них являются коммуникационные протоколы P2P и IRC-чат. Они являются частью арсенала ботов, которые занимаются размножением вредоносных программ и передают информацию своему владельцу. Развернуть в сети ПО, сканирующие уязвимости. Постоянное обновление ОС позволяет минимизировать негативное влияние любых новых уязвимых мест в сети и уменьшить риск заражения этими типами червей. Кроме того, настоятельно рекомендуется постоянно обновлять все остальные приложения – сюда относятся офисные приложения и все другое ПО, которое используют сотрудники. Ограничить права всех сетевых пользователей. Руткиты, действующие на уровне ядра, реализуются в виде драйверов устройств. По этой причине запрет пользователям на загрузку и выгрузку драйверов позволяет почти полностью избежать этой опасности. Другие вредоносные программы используют права администратора для выполнения зловредных действий. Представляется разумным значительно сузить возможности вредоносной программы, ограничив права пользователей. Это осуществляется за счет лишения пользователей администраторских прав. Развернуть корпоративные средства антишпионского сканирования, т.к. шпионское ПО становится все более серьезной опасностью для корпоративных пользователей.