Во всех случаях использовалась одинаковая схема заражения, разными были лишь используемые наборы эксплоитов.
«Лаборатория Касперского» сообщает о вредоносной активности на сайтах трех российских банков. Все три страницы стали жертвами одного и того же сильно зашифрованного и обфусцированного скрипта, скрытно перенаправляющего браузер на вредоносный, распространяющий эксплоиты, сайт.
Посетив любой из трех зараженных ресурсов и просмотрев, откуда загружаются эксплоиты и вредоносные файлы, можно найти поразительное сходство с схемой заражения PHP.NET.
В случае его заражения, наборы эксплоитов загружались через сайты-редиректоры:
hxxp://url.whixxxsb.co.uk/stat.htm
hxxp://aes.whxxxdigitalphoto.co.uk/nid?1
Три зараженных российских сайта использовали похожие адреса:
hххp://b-network.northgaxxxminalattorney.com/stat.htm
hххp://e-dev.cobbxxxminaldefenseattorney.com/nid?1
Единственное различие – это наборы эксплоитов, загружаемые браузером жертвы: PHP.NET использовал Magnitude, а банки – Neutrino.
Как результат, эксплоиты используют уязвимость Java CVE-2013-2463 и запускают на ПК бэкдор Neurevt. Он способен:
Продукты ЛК детектируют вредоносное ПО как Trojan.Win32.Neurevt.ei, а Java-эксплоиты – как HEUR:Exploit.Java.Generic.
ЛК предупредила банки о наличии вредоносного кода на их web-сайтах.
С текстом отчета Лаборатории Касперского можно ознакомиться здесь .