Сайты трех российских банков взломаны по схеме нападения на PHP.NET

image

Теги: набор эксплоитов, сайт

Во всех случаях использовалась одинаковая схема заражения, разными были лишь используемые наборы эксплоитов.

«Лаборатория Касперского» сообщает о вредоносной активности на сайтах трех российских банков. Все три страницы стали жертвами одного и того же сильно зашифрованного и обфусцированного скрипта, скрытно перенаправляющего браузер на вредоносный, распространяющий эксплоиты, сайт.

Посетив любой из трех зараженных ресурсов и просмотрев, откуда загружаются эксплоиты и вредоносные файлы, можно найти поразительное сходство с схемой заражения PHP.NET.

В случае его заражения, наборы эксплоитов загружались через сайты-редиректоры:

hxxp://url.whixxxsb.co.uk/stat.htm
hxxp://aes.whxxxdigitalphoto.co.uk/nid?1

Три зараженных российских сайта использовали похожие адреса:

hххp://b-network.northgaxxxminalattorney.com/stat.htm
hххp://e-dev.cobbxxxminaldefenseattorney.com/nid?1

Единственное различие – это наборы эксплоитов, загружаемые браузером жертвы: PHP.NET использовал Magnitude, а банки – Neutrino.

Как результат, эксплоиты используют уязвимость Java CVE-2013-2463 и запускают на ПК бэкдор Neurevt. Он способен:

  • перехватывать HTTP/HTTPS трафик, в том числе банковскую информацию;
  • запрещать загрузку в системе множества антивирусных продуктов;
  • похищать пароли от многих FTP, SSH, почтовых клиентов, мессенджера Skype, а также сохраненные в браузере пароли;
  • распространяться через съемные носители;
  • сделать компьютер частью ботнета и осуществлять DDoS-атаки.

Продукты ЛК детектируют вредоносное ПО как Trojan.Win32.Neurevt.ei, а Java-эксплоиты – как HEUR:Exploit.Java.Generic.

ЛК предупредила банки о наличии вредоносного кода на их web-сайтах.

С текстом отчета Лаборатории Касперского можно ознакомиться здесь.


comments powered by Disqus