Доктор Веб: Распространение троянов с сайта далай-ламы

Hit WebКомпания "Доктор Веб" информирует о распространении нескольких троянских программ через взломанный злоумышленниками официальный интернет-ресурс далай-ламы. Опасность грозит пользователям операционных систем Windows и Mac OS X.

Несколько дней назад пользователи проинформировали специалистов компании "Доктор Веб" о факте взлома неизвестными злоумышленниками официального сайта тибетского духовного лидера далай-ламы. В ходе расследования инцидента, специалисты "Доктор Веб" выяснили, что при открытии этого веб-сайта в окне браузера на компьютер пользователя загружался файл формата jar, содержащий эксплойт (CVE-2012-0507). С помощью этой уязвимости происходит автоматический запуск трояна для Mac OS X - BackDoor.Dockster.

Данная вредоносная программа помещается в домашнюю папку пользователя Mac OS X и запускается. Для ее функционирования не требуются администраторские привилегии, т.к. троян может работать и под учетной записью обычного пользователя. BackDoor.Dockster способен фиксировать и передавать злоумышленникам нажатия клавиш на инфицированном компьютере, а также выполнять различные команды, поступающие от злоумышленников.

Oficialnii sait Dalai Lama

Троян BackDoor.Dockster.1 пытается загрузиться на компьютеры всех посетителей сайта далай-ламы, вне зависимости от используемой ими системной платформы. Также выяснилось, что взломавшие данный сайт злоумышленники не смогли настроить на атакованном сервере соответствующую проверку клиентской ОС. Об этом свидетельствует то обстоятельство, что на инфицированном ресурсе специалистами "Доктор Веб" был обнаружен другой JAR-файл с именем

  • install.jar

содержащий эксплойт CVE-2012-4681. С помощью этого файла на компьютер жертвы должна устанавливаться вредоносная программа семейства BackDoor.Gyplit, ориентированная на работу в ОС Windows и предназначенная для сбора и передачи злоумышленникам конфиденциальной информации, а также выполнения на инфицированной машине различных команд. Тем не менее, загрузки упомянутого выше JAR-файла в настоящий момент не происходит.

Известно о существовании как минимум еще двух веб-сайтов, при посещении которых выполняется проверка пользовательской ОС, и в зависимости от ее результатов на клиентский компьютер загружается соответствующий JAR-файл. В первом случае версия данного файла для пользователей Windows содержит

  • Exploit.CVE2011-3544.83

с использованием которого происходит заражение вредоносной программой Trojan.Inject1.14703. Версия JAR-файла для других операционных систем эксплуатирует уязвимость

  • CVE-2012-0507

при этом пользователи Mac OS X рискуют заразиться трояном BackDoor.Lamadai.1. Эта же вредоносная программа загружается с инфицированного веб-сайта на компьютеры пользователей Linux, однако в данной операционной системе она неработоспособна.

Во втором случае, на известном южнокорейском новостном сайте, освещающем события в Северной Корее, также осуществляется проверка операционной системы посетителя при помощи аналогичного сценария. Однако вредоносный файл, в роли которого выступает троян Trojan.MulDrop3.47574, загружается только пользователям Windows.

Случаи распространения вредоносных программ и таргетированных вредоносных рассылок, ассоциированных с темой борьбы за независимость Тибета, фиксировались и ранее. Использование злоумышленниками взломанных интернет-ресурсов для распространения вредоносного ПО, носят узконаправленный характер, поскольку взлому подвергаются в основном сайты политической и оппозиционной направленности, посвященные тибетской или северокорейской проблематике.

Администраторы подвергшихся атаке веб-сайтов были своевременно предупреждены о факте взлома.

Адреса инфицированных интернет-ресурсов были временно помещены в базы интернет-фильтра Dr.Web SpIDer Gate с целью предотвращения заражения пользовательских компьютеров вредоносным ПО.


Обновлено (05.12.2012 16:50)