Новости|16 Март 2012 19:08

Kasperskiy Lab: посетители новостных ресурсов в опасности

 

логотип "Лаборатории Касперского"Экспертам из «Лаборатории Касперского» удалось обнаружить уникальную атаку, в процессе которой злоумышленники применили программу, способную работать на зараженной системе без создания собственных файлов. Для распространения зараженного кода была использована сеть популярных отечественных новостных ресурсов.

В ходе исследования, проведенного сотрудниками антивирусной корпорации, было установлено, что хакерской атаке подвергались посетители онлайновых СМИ, которые использовали на своих страницах тизерные сети, основанные на технологии AdFox. Как только происходила загрузка одного из новостных тизеров, браузер без ведома пользователя совершал переход на сайт с Java-эксплойтом, однако же в отличие от ранее известных drive-by атак зараженная программа не загружалась в память жесткого диска компьютера, а функционировала только в оперативной памяти.

код java-эксплойта, атакующего новостные сайты
Работая аналогично боту, зловред посылал в систему злоумышленников информацию об истории посещения веб-ресурсов из обозревателя. Если в отправленной информации содержались данные об использовании системы онлайн-банкинга, на компьютер пользователя устанавливался троян Lurk, цель которого — хищение конфиденциальных данных для доступа к виртуальной системе удаленного обслуживания клиентов целого ряда российских банков.

Тем временем было выяснено, сеть AdFox не выступает в качестве источника заражения — изменения в коде анонсов новостей были внесены с учетной записи одного из клиентов сети. В результате злоумышленники получили доступ ко всем компьютерам, с которых пользователи посещали новостные ресурсы с аналогичной системой. По заключению экспертов, число потенциально атакованных посетителей может превышать несколько десятков тысяч.

Несмотря на способность подобных вредоносных программ работать лишь до перезагрузки ОС, вероятность повторного посещения зараженного новостного ресурса очень велика. Поэтому специалисты «Лаборатории Касперского» напоминают о необходимости своевременной установки обновлений антивирусных продуктов и настоятельно рекомендуют установить патч, препятствующий проникновению вышеописанного Java-эксплойта на компьютер. Загрузить решение безопасности можно здесь.