Хакеры взломали более 20 000 сайтов с помощью похищенных FTP-аккаунтов

Исследователям компании Armorize удалось обнаружить очередную волну атак, в результате которой в содержимое сайта внедряется тег iframe.

Обнаружить атаку стало возможным благодаря ошибке, которую допустили злоумышленники. Хакеры забыли вставить тег <script> перед добавленным вредоносным кодом, поэтому Google сумел проиндексировать скомпрометированные страницы. Изначально было скомпрометировано 22 400 сайтов и 536 000 страниц было заражено вредоносным кодом.

К сожалению, злоумышленники исправили свою ошибку, и Google больше не может использоваться для обнаружения скомпрометированных сайтов. Поэтому текущее количество зараженных страниц неизвестно.

Известно, что внедренный код перенаправляет посетителей сайтов через ряд переадресаций на страницу, содержащую модифицированную версию набора эксплоитов BlackHole.

Данный набор эксплоитов использует уязвимости в операционной системе Windows, и таких популярных приложениях как Java, Adobe Reader и Flash Player. Эксплоиты устанавливают поддельные антивирусные решения на компьютеры жертв.
Название поддельных антивирусных решений меняется в зависимости от операционной системы, установленной на компьютере жертвы. Для Windows XP – это «XP Security 2012», для Windows Vista – «Vista Antivirus 2012» и «Win 7 Antivirus 2012» - для Windows 7.

Согласно данным исследователей компании Armorize, домены, на которые перенаправлялись пользователи, зарегистрированы в Молдове, а сервера, на которых находились эксплоиты, расположены в США. Для внедрения тега iframe в контент сайта, мошенники использовали похищенные учетные данные пользователей, используемые для доступа к сайту с помощью FTP.