Trojan.Milicenso: 4000 скомпрометированных сайтов

ПредыдущаяСледующая
Symantec Logo

Корпорация Symantec раскрывает подробности об угрозе Trojan.Milicenso, которая стала известна благодаря побочному действию – отправке заданий на печать. Принтеры распечатывали случайные наборы символов до тех пор, пока в них не заканчивалась бумага. В рамках дополнительного исследования удалось установить, что данное вредоносное ПО загружается при помощи веб-атаки перенаправления .htaccess, и как минимум 4 000 веб-сайтов были скомпрометированы группировкой, ответственной за данную угрозу.

Перенаправление при помощи файла .htaccess

Файл .htaccess содержит конфигурационные данные веб-сервера, используемые веб-администратором для управления сетевым трафиком. Например, для запрещения доступа к определенным страницам, перенаправления запросов мобильных устройств на специальные сайты и так далее. Для мониторинга сетевого трафика с легитимными сайтами злоумышленники (и некоторые готовые наборы вредоносного ПО) используют уязвимость веб-серверов для модификации файла .htaccess:

  • Когда пользователь переходит по ссылке, браузер запрашивает доступ к скомпрометированному сайту.
  • Веб-сервер перенаправляет пользователя на вредоносный сайт, используя данные из файла .htaccess.
  • На инфицированном сайте может быть множество угроз, потенциально способных использовать определенные уязвимости ПК.

О перенаправлении, описанном в пункте 2, пользователь не предупреждается, и он не имеет никакого представления о том, что произошло «за кулисами».

Файл .htaccess

Чтобы не привлекать внимания сетевых администраторов, атакующий вставил в оригинал более 800 пустых строк как в начале, так и в конце файла. Конфигурация также была очень аккуратно сконструирована, чтобы не допустить обнаружения инфекции внешними пользователями или исследователями. Запрос к скомпрометированному сайту перенаправляется на вредоносную страницу, только при выполнении всех следующих условий:

  • Это первое посещение сайта (при последующих посещениях перенаправления не происходит);
  • Веб-сайт посещается при переходе по ссылке из поисковой системы, SNS или электронной почты (перенаправления не происходит, если пользователь заходит на веб-сайт из своих закладок или просто вписывая URL в адресную строку браузера);
  • Угроза работает только на платформе Windows (на других платформах перенаправления не происходит);
  • Используется популярный веб-браузер (переадресация не предусмотрена для альтернативных браузеров и поисковых систем).

Атакующий может отслеживать источник трафика, вставляя в запрос переадресации оригинальную URL.

Вредоносные веб-сайты

Изучение журналов позволило определить, что группировка использует технологию переадресации .htaccess как минимум с 2010 года. Перечень некоторых наиболее «свежих» вредоносных сайтов представлен ниже:

  • [СЛУЧАЙНОЕ ИМЯ ДОМЕНА].tedzstonz.com;
  • [СЛУЧАЙНОЕ ИМЯ ДОМЕНА].tgpottery.com;
  • [СЛУЧАЙНОЕ ИМЯ ДОМЕНА].yourcollegebody.com;
  • [СЛУЧАЙНОЕ ИМЯ ДОМЕНА].tgpottery.com;
  • [СЛУЧАЙНОЕ ИМЯ ДОМЕНА].beeracratic.com;
  • [СЛУЧАЙНОЕ ИМЯ ДОМЕНА].buymeaprostitute.com;
  • [СЛУЧАЙНОЕ ИМЯ ДОМЕНА].zoologistes-sansfrontiere.com;
  • [СЛУЧАЙНОЕ ИМЯ ДОМЕНА].zoologistes-sansfrontiere.com;
  • [СЛУЧАЙНОЕ ИМЯ ДОМЕНА].buymeaprostitute.com;
  • [СЛУЧАЙНОЕ ИМЯ ДОМЕНА].wheredoesshework.com;
  • [СЛУЧАЙНОЕ ИМЯ ДОМЕНА].wheredidiwork.com;
  • [СЛУЧАЙНОЕ ИМЯ ДОМЕНА].jordanmcbain.com;
  • [СЛУЧАЙНОЕ ИМЯ ДОМЕНА].bankersbuyersguide.net;
  • [СЛУЧАЙНОЕ ИМЯ ДОМЕНА].findmeaprostitute.com;
  • [СЛУЧАЙНОЕ ИМЯ ДОМЕНА].watchmoviesnchat.com;
  • [СЛУЧАЙНОЕ ИМЯ ДОМЕНА].joincts.info.

Атакующие меняют имена доменов как можно чаще, чтобы избежать блокировки или попадания в черный список. В 2010 и 2011 годах злоумышленники переходили на новый домен каждые несколько месяцев, а в 2012 переходы происходят почти ежедневно.

Скомпрометированные веб-сайты

За последние несколько дней специалисты Symantec обнаружили почти 4 000 уникальных взломанных веб-сайтов, которые перенаправляют пользователей на вредоносные ресурсы. Большинство из них являются персональными страницами или сайтами средних и малых компаний, однако в перечне также присутствуют государственные, телекоммуникационные и финансовые организации, сайты которых также были скомпрометированы.

17 июля 2012 Г.

08:35

Ctrl
ПредыдущаяСледующая
194
194

Все новости за сегодня

Nvidia просит продавцов реализовывать видеокарты в первую очередь геймерам, а не майнерам: Nvidia хочет решить проблему дефицита видеокарт рекомендациями для продавцов

SoftBank стала крупнейшим инвестором Uber, приобретя около 15% акций компании: SoftBank инвестировала в Uber около 9,3 млрд долларов

За накопитель Intel Optane 800P объёмом 120 ГБ придётся отдать больше 300 долларов: SSD Intel Optane 800P получились дорогими42

Квартальная выручка IBM выросла впервые за несколько лет: IBM отчиталась за 2017 год1

Nintendo Labo — уникальный интерактивный конструктор, «оживляющий» картонные творения посредством консоли Switch: Конструктор Nintendo Labo существует в виде трёх наборов33

В некоторых случаях Apple будет менять iPhone 6 Plus на iPhone 6s Plus : У Apple закончились iPhone 6 Plus для замены 31

Ноутбук Xiaomi Mi Notebook Air наконец-то оснастили четырёхъядерными процессорами Intel: Ноутбук Xiaomi Mi Notebook Air получил CPU Intel Kaby Lake Refresh40

Hynix тоже готова отгружать клиентам память GDDR6: У Hynix уже готова память GDDR617

Слабый спрос приведёт к тому, что Apple прекратит производство iPhone X сразу после выхода преемника: Минг-Чи Куо считает, что смартфоны Apple 2018 года будут успешнее текущих81

iXBT TV

  • Обзор цветного светодиодного МФУ Xerox VersaLink C605 для малых и средних офисов

  • Apple отключит замедление iPhone, 10 лет MacBook Air, дрон спас человека

  • Обзор автомобиля Mercedes-Benz E 220 d 4Matic All-Terrain Luxury: полноприводный внедорожный универсал

  • Обзор складной гладильной системы MIE Maxima: утюг, отпариватель для одежды и гладильная доска

  • Обзор недорогого Full HD DLP-проектора BenQ W1050 для домашнего кинотеатра

  • Процессор Intel с графикой AMD, экраны любой формы и размера

  • Критическая уязвимость Intel, разбор Apple iMac Pro, Dell XPS 13 стал тоньше

  • Обзор компактной беспроводной колонки JBL Playlist с поддержкой Chromecast

  • Обзор игрового IPS-монитора LG 34UM69G с соотношением сторон 21:9

  • Обзор блока питания Aerocool P7-750W Platinum с гибридной системой охлаждения

  • Apple специально замедляет старые iPhone, VR-революция, крошечный телефон

  • Обзор широкоугольного объектива Canon EF 35 mm F1.4L II USM

Календарь

июль
Пн
Вт
Ср
Чт
Пт
Сб
Вс