Тысячи веб-сайтов, ошеломленных массовым хакерским нападением

До 40 000 веб-сайтов были взломаны, чтобы перенаправить невольных жертв на другой веб-сайт, который пытается заразить ПК вредоносным программным обеспечением, согласно поставщику безопасности Websense.

Уязвимые сайты были взломаны для размещения кода JavaScript, который направляет людей на поддельный веб-сайт Google Analytics, который предоставляет данные владельцам веб-сайтов по использованию сайта, а затем другому плохому сайту, сказал Карл Леонард, менеджер по исследованиям угроз для Websense.

Эти веб-сайты имеют вероятно, был взломан с помощью атаки SQL-инъекции, в которой неправильно настроенные веб-приложения принимают вредоносные данные и взломать их, сказал Леонард.

[Дополнительная информация: Как удалить вредоносное ПО с вашего ПК с Windows]

Еще одна вероятность того, что FTP с рекреационные возможности для сайтов каким-то образом были получены хакерами, что дает им доступ к внутренней работе сайта. Похоже, хакеры используют автоматические инструменты для поиска уязвимых веб-сайтов, сказал Леонард.

Последняя кампания подчеркивает, что хакеры успеха имеют хостинг опасного кода на плохо защищенных веб-сайтах.

Как только пользователь был направлен на фиктивный сайт Google Analytics, он перенаправляет снова на другой вредоносный домен. Этот сайт проверяет, есть ли у ПК уязвимости программного обеспечения в браузере Microsoft Internet Explorer или Firefox, которые могут быть использованы для доставки вредоносного ПО, сказал Леонард.

Если он не найдет там проблемы, он запустит подделку предупреждая, что компьютер заражен вредоносным ПО и пытается заставить пользователя охотно загружать программу, предназначенную для обеспечения безопасности, но на самом деле является загрузчиком троянских программ, сказал Леонард. Эти поддельные программы безопасности часто называются «scareware» и не работают как рекламируемые.

По состоянию на прошлую пятницу только четыре из 39 программ безопасности могли обнаружить этот троянец, хотя теперь это скорее всего изменилось как продавцы, такие как вредоносное ПО Websense образцы с другими компаниями для улучшения общей безопасности в Интернете.

Неясно, что делают хакеры с недавно скомпрометированными компьютерами, хотя возможно, что они могут быть настроены на отправку спама, стать частью ботнета или украдены данные из их.

Злодейный домен, обслуживающий вредоносное ПО, размещен на территории Украины, в том же регионе, где работает пресловутая российская бизнес-сеть (RBN). RBN является бандой злоумышленников, участвующих в фишинговых кампаниях и других злонамеренных действиях, сказал Леонард. Похоже, что этот веб-сайт не был во вторник днем. Теперь считается, что RBN неактивен.

«Является ли это частью этой группы или является ли это подмножеством, использующим некоторые методы, которые аналогичны тем, которые использовались группой вредоносных программ в прошлом, мы еще не совсем уверены, - сказал Леонард. «Очень сложно определить точных людей за этим».

Поскольку так много веб-сайтов были взломаны для доставки атаки, почти невозможно связаться со всеми, сказал Леонард.

Websense сказал, что последние атаки Похоже, что это связано с Gumblar, кампанией вредоносного ПО, которая началась в прошлом месяце. Gumblar привел к тому, что по меньшей мере 3000 веб-сайтов заразились вредоносным кодом, который проверял компьютеры пользователей на наличие уязвимостей в программном обеспечении Adobe Systems.

После того как на ПК Gumblar крадет учетные данные FTP-входа, используя эту информацию для распространения на других компьютерах, Он также управляет веб-браузером человека и заменяет результаты поиска Google другими опасными ссылками.