ИТ-компания SafeScan сообщает о факте массового взлома более 2000 сайтов. Многие легитимные сайты злоумышленники сделали источником распространения вредоносного ПО.
Мери Ландесман, старший специалист по безопасности SafeScan заявляет, что нынешняя атака на сайты, проведенная при помощи злонамеренного кода Gumblar, проведена с размещением эксплоита прямо на серверах, которые обслуживают атакуемые веб-ресурсы. Он отмечает, что в каждом конкретном случае взлома эксплоит размещался под уникальным именем, которое в подавляющем большинстве случаев походило реально существующий файл, расположенный на сервере. Этот трюк существенно затруднил факт обнаружения взлома, пишет cybersecurity.ru.
Благодаря предыдущей атаке Gumblar уже заразил несколько тысяч сайтов, которые после взлома стали играть роль редиректоров на хакерские ресурсы. Теперь кибертеррористы размещают вредоносный код прямо на серверах с целью ускорить процесс заражения компьютеров.
Большинство взломанных сайтов – это проекты малого бизнеса, которые не слишком заботятся о должной безопасности своих ресурсов, отмечает Мери Ландесман.
После прошедшей атаки пользователи, которые смогли посетить данные ресурсы, не видят ничего необычного. Но на заднем фоне при подключении к ресурсу активируется PHP-файл, который проверяет версии Adobe Flash или Adobe Reader на компьютере. Если обнаружена уязвимая версия софта, программа пытается взломать ее при помощи известных эксплоитов. После этого взломанный ПК превращается в бэкдор.
