Сайты трех российских банков взломаны по схеме нападения на PHP.NET

Сайты трех российских банков взломаны по схеме нападения на PHP.NET

Во всех случаях использовалась одинаковая схема заражения, разными были лишь используемые наборы эксплоитов.

«Лаборатория Касперского» сообщает о вредоносной активности на сайтах трех российских банков. Все три страницы стали жертвами одного и того же сильно зашифрованного и обфусцированного скрипта, скрытно перенаправляющего браузер на вредоносный, распространяющий эксплоиты, сайт.

Посетив любой из трех зараженных ресурсов и просмотрев, откуда загружаются эксплоиты и вредоносные файлы, можно найти поразительное сходство с схемой заражения PHP.NET.

В случае его заражения, наборы эксплоитов загружались через сайты-редиректоры:

hxxp://url.whixxxsb.co.uk/stat.htm
hxxp://aes.whxxxdigitalphoto.co.uk/nid?1

Три зараженных российских сайта использовали похожие адреса:

hххp://b-network.northgaxxxminalattorney.com/stat.htm
hххp://e-dev.cobbxxxminaldefenseattorney.com/nid?1

Единственное различие – это наборы эксплоитов, загружаемые браузером жертвы: PHP.NET использовал Magnitude, а банки – Neutrino.

Как результат, эксплоиты используют уязвимость Java CVE-2013-2463 и запускают на ПК бэкдор Neurevt. Он способен:

  • перехватывать HTTP/HTTPS трафик, в том числе банковскую информацию;
  • запрещать загрузку в системе множества антивирусных продуктов;
  • похищать пароли от многих FTP, SSH, почтовых клиентов, мессенджера Skype, а также сохраненные в браузере пароли;
  • распространяться через съемные носители;
  • сделать компьютер частью ботнета и осуществлять DDoS-атаки.

Продукты ЛК детектируют вредоносное ПО как Trojan.Win32.Neurevt.ei, а Java-эксплоиты – как HEUR:Exploit.Java.Generic.

ЛК предупредила банки о наличии вредоносного кода на их web-сайтах.

С текстом отчета Лаборатории Касперского можно ознакомиться  здесь .

Устали от того, что Интернет знает о вас все?

Присоединяйтесь к нам и станьте невидимыми!