На днях стало известно о том, что команда злоумышленников взломала несколько тысяч различных сайтов, загрузив malware на серверы. Сделано это для того, чтобы заражать пользовательские ПК в момент посещения их владельцами скомпрометированного ресурса. Взломы проведены не вчера, кампания была тщательно замаскирована, и проводилась минимум несколько месяцев назад.
В основном поражались ресурсы на таких CMS, как WordPress, Joomla и SquareSpace. Информацию о случившемся предоставил специалист по информационной безопасности Джером Сегура, работающий в компании Malwarebytes. Хакеры, по его словам, поступили достаточно предусмотрительно. Зараженные сайты показывали посетителям сообщения о необходимости установить обновление для Firefox, Chrome или Flash.
Для того, чтобы избежать обнаружения, каждый IP, с которого отправлялись фальшивые уведомления, использовался не более одного раза для одного посетителя. Кроме того, шаблоны уведомлений загружались на сервера взломанных сайтов, так что большая часть данных поступала именно с «белого» ресурса, не занесенного ни в одну из баз фишинговых или опасных по иным причинам адресов.
Интересно, что те, кто соглашался с обновлением и кликал по сообщению, автоматически становились жертвами зловредного JavaScript-файла, загружаемого из DropBox. Этот скриптик в дальнейшем искал наличие присутствие признаков виртуальной машины или «песочницы», и если ничего такого не обнаруживалось, то начиналась загрузка уже финального зловреда, исполняемого файла, подписанного валидным цифровым сертификатом.
Такая тактика дала неплохие результаты — уведомление мало у кого вызывало подозрения (не будем все же забывать, что большинство пользователей — вовсе не специалисты по информационной безопасности), так что вирус поражал тысячи систем. И, кстати, JavaScript файл был обфусцирован, так что его анализ обычными методами затруднен. Кроме него злоумышленники использовали такие программное обеспечение, как банковский зловред Chthonic и затрояненная версия NetSupport — это вообще «белое» приложение, которое в обычной ситуации дает удаленный доступ к системе пользователя.
Вот так и выглядел процесс «обновления» браузера
Специалисты из Malwarebytes не смогли точно определить, сколько именно веб-сайтов смогли скомпрометировать злоумышленники. Представители компании написали специальный скрипт-паук, который по определенными признакам «понимал» наличие заражения и сообщал об этом создателям. Он, в частности, показал, что сотни Wordpress и Joomla сайтов заражены. Проверить можно и самостоятельно вот по этому нехитрому запросу. Есть предположение, что кампания по распространению зловреда была запущена не позже 20 декабря прошлого года. Злоумышленники смогли заразить ресурсы, сервера или CMS которых не были обновлены.
Сама атака была весьма продуманной, поэтому и привлекла внимание специалистов по информационной безопасности. Злоумышленникам удалось обмануть многие системы защиты, которые обычно блокируют подобного рода атаки.
Кстати, «взламывают» собственные сайты иногда и владельцы. Например, некоторые из них добавляют код криптомайнера для того, чтобы заработать немного денег. Это называется криптоджекинг — незаметный майнинг криптовалют на компьютерах посетителей сайтов. В такой схеме заработка нет ничего страшного, если бы не одно «но».
Первое — в большинстве случаев посетителей просто не уведомляют о том, что на их компьютерах будут сейчас майнить криптовалюту. Самое интересное, что скрипт для криптоджекинга Coinhive устанавливают даже владельцы интернет-магазинов, ресурсов, которые по умолчанию должны быть лишены сторонней рекламы или схем монетизации. На момент конца 2017 года Coinhive был установлен на нескольких тысячах сайтов электронной коммерции.
Справедливости ради нужно сказать, что многие интернет-магазины все же взламываются, и их владельцы ничего не знают о криптоджекинге. Более того, исследование Виллема де Грота, показало, что в 80% случаев на этих ресурсах установлен не только скрипт Coinhive, но также различные зловреды для скимминга — копирования реквизитов банковских платёжных карт клиентов магазинов.
Комментарии (8)
MTyrz
12.04.2018 05:15+1Вот так и выглядел процесс «обновления» браузера
Эм…
Согласиться с обновлением браузера? Скачать, сохранить, запустить руками?
Кажется, до просьбы самостоятельно отослать злоумышленнику требуемую информацию, а потом удалить у себя свои данные осталось не так много.Dmitry_Dor
12.04.2018 06:22Таджикский вирусЗдравствуйте, я таджикский вирус. По причине ужасной бедности моего создателя и низкого уровня развития технологий в нашей стране я не способен причинить какой-либо вред Вашему компьютеру. Поэтому очень прошу Вас, пожалуйста, сами сотрите какой-нибудь важный для Вас файл, а потом разошлите меня по почте другим адресатам. Заранее благодарю за понимание и сотрудничество.
https://www.anekdot.ru/id/887572/Skigh
12.04.2018 09:23Как вы объясните среднестатистическому пользователю, какие обновления ставить, а какие нет?
MTyrz
12.04.2018 13:26В данном случае элементарно. Обновления огнелис в дефолтном варианте ставит сам. Все, что он сам не поставил, ставить не надо. То есть, не трогайте браузер руками, и все будет хорошо в этом конкретном случае.
В других случаях это правило может, и не поможет, но точно не повредит.Skigh
12.04.2018 13:35Я про общий случай. Как неподготовленного пользователя научить отличать нужные обновления (Винда, антивирус, мессенджеры и т.п.) от вредоносных?
MTyrz
12.04.2018 22:54В совсем общем случае, учитывая вариабельность пряморукости разработчиков, никак. Поскольку никто не отличит по внешнему виду обновление, добавляющее новый баг, от обновления-багофикса.
Если же не упираться в эти нюансы, то сейчас последний хелловорлд, а не то, что мессенджер, первое, что делает после установки — лезет в сеть за обновлениями. Сам. Винды и антивирусов это тоже касается.
Отсюда простой вывод: все, что предлагают на любых сайтах, слать лесом по умолчанию. Ваше, товарищ неподготовленный пользователь, программное обеспечение обновляется само с чудесной избирательностью. Вам этот процесс руками трогать совсем не надо. Никогда и низачем. И не читайте советов в интернете, на заборе тоже много всего пишут, и не всегда полезного.
Если возникли проблемы, а именно сообщения вне браузера, что что-то не может обновиться, не хочет обновиться и так далее — зовите специально обученныхэникейщиковлюдей, такие есть в количестве.
Dmitri-D
не так давно в дружественной компании было такое. Владельцы, конечно, ничего не ставили, потому что они как раз и придерживались такой точки зрения, что их реусурсы, раз они коммерческие, должны быть лишены сторонней рекламы и схем монитизации. Но их точку зрения не разделял администратор, сидевший на зарплате и выявить его злонаменные поползновения было довольно сложно, т.к. он старался заметать следы хорошо. В итоге всё равно был пойман с поличным.