Eset: Необычная Drive-by атака в Рунете

ESET NOD32Специалистами компании Eset была обнаружена новая атака, распространяющая новую вредоносную программу. Изюминка атаки в том, что ее организаторы пытаются скрыть присутствие вредоносной программы с помощью скрипта, вызывающего вредоноса, иниицирующимся при особом движении курсора мышки на сайте.

Большинство атак подобного типа полагаются на скрытые ifame, размещаемые внутри нормального кода, но скомпрометированные сайты переводят посетителей на атакующие ресурсы. Новая же атака фактически не использует никаких подозрительных включений, которые бы могли вызвать включение антивирусного сканера. Вместо этого, вредоносный код JavaScript подгружается из другого JS-файла, расположенного удаленно, однако подгрузка происходит только во время движения курсора мыши.

Подобным образом злоумышленники пытаются отсеять реальных жертв (людей) от автоматизированных кодов, сканирующих веб-сайты на наличие вредоносов, что позволит продлить срок жизни данной атаки. В Eset называют найденную атаку дальнейшим развитием атак drive-by, предусматривающих прямую инъекцию кода. Так как тут используется более продвинутый алгоритм, то обнаружить реальный вредоносный код значительно сложнее.

Если система детектирует, что на сайте присутствует реальный человек, то производится инсталляция кода, ранее присутствовавшего в наборе эксплоитов Nuclear Pack. В самом Nuclear Pack большая часть кодов эксплуатирует уязвимости в Java, Adobe Reader или Flash Player. В случае последней атаки, злоумышленники используют нашумевшую Java-уязвимость CVE-2012-0507, устраненную для Windows еще в феврале, а для Mac - на прошлой неделе.


Обновлено (10.04.2012 22:07)