Ботнет использует Firefox для поиска уязвимостей в веб-сайтах


KibershuleЭкспертом по информационной безопасности было выявлено вредоносное приложение, выдающее себя за подлинное дополнение для браузера Mozilla Firefox. Изучив его более детально, эксперт обнаружил, что данное приложение не что иное, как ботнет. При этом, как выяснилось, он состоит из 12,5 тысяч зараженных компьютеров. Основное вредоносное назначение данного зловреда - сканирование посещаемых web-сайтов на наличие уязвимостей.

Можно предположить, что выявленный ботнет под названием "Advanced Power" активен с мая 2013 года. Однако, пока не удалось установить, каким образом происходило инфицирование машин.

Конечно, можно предположить, что после инсталляции на компьютере жертвы вредоносная программа осуществляла поиск SQL-инъекйций на сайтах, которые посещала жертва. Скомпрометированные таким образом сайты, использовались злоумышленниками для увеличения количества зараженных машин. Таким образом, ботнету удалось обнаружить свыше 1,8 тысяч web-страниц, уязвимых к SQL-инъекциям.

После попадания в систему с установленным браузером Mozilla Firefox, зловред загружал и устанавливал плагин "Microsoft.NET Framework Assistant", который и осуществляет сканирование посещаемых страниц.

Специалист сообщил, что образец вредоносного ПО хранится в базе Malwr.com, а сам ботнет предположительно распространялся из Чехии, т.к. исходный код содержит ряд комментариев, написанных на чешском языке.


Обновлено (17.12.2013 19:11)