Тысячи сайтов подверглись массированной атаке украинских хакеров

По меньшей мере 40.000 веб-сайтов были взломаны на прошлой неделе неизвестными хакерами, сообщает известный производитель средств защиты компания Websense. Злоумышленникам удалось внедрить в код скомпрометированных страниц вредоносный сценарий javascript, направляющий посетителей на хакерский сайт.

«Изначально посетители захваченных сайтов попадали на фальшивую страницу Google Analytics. Этот сервис предоставляет владельцам сайтов информацию о посещаемости их ресурса, - объясняет Карл Леонард (Carl Leonard), исследователь Интернет-угроз из компании Websense, - Оттуда пользователь автоматически переносился на сайт, тестирующий клиентскую систему на наличие уязвимостей в браузерах Microsoft Internet Explorer и Firefox».

Убедившись в неуязвимости компьютера, хакерский сайт выводил на дисплей сообщение об обнаруженном вирусе и предлагал немедленно загрузить специальное приложение, которое поможет решить проблему. Согласившись на эту операцию, пользователь самостоятельно загружал на свой компьютер «троянское» приложение.

Для обозначения подобных вредоносных программ эксперты используют термин «scareware» (пугающее ПО). Основной задачей таких приложений является погружение пользователя в состояние паники, в котором он может забыть о мерах предосторожности.

В прошлую пятницу лишь четыре из 39 распространенных средств защиты могли обнаружить опасного «трояна». Впрочем, с того дня производители антивирусов успели обменяться образцами вредоносного кода и многие из них выпустили соответствующие обновления для своих продуктов.

Скорее всего, для взлома сайта использовалась такая популярная хакерская методика, как SQL-инъекция (SQL Injection). Специалисты также допускают возможность, что в распоряжении хакеров оказались пароли, обеспечивающие доступ к коду страниц.

Специалисты установили, что сервер, координирующий распространение вредоносного ПО, принадлежит украинскому хостинг-провайдеру. На территории этого региона действует печально известная хакерская группировка Russian Business Network (RBN), однако Websense не удалось обнаружить доказательств причастности участников этой группы к последней атаке.

Какая именно участь ожидала владельцев зараженных компьютеров, пока не установлено. Впрочем, о намерениях злоумышленников нетрудно догадаться. Скомпрометированные системы чаще всего используются для массовой рассылки спама, организации DDoS-атак или похищения хранимых на жестком диске конфиденциальных данных.