Зафиксировано распространение через рекламную сеть AdFox вредоносного ПО, эксплуатирующего уязвимость в Java
20 марта 2012 года
Лаборатория Касперского опубликовала (Архивная копия от 4 декабря 2013 на Wayback Machine) разбор вредоносного ПО, отличающийся применением сразу нескольких интересных подходов. Во-первых, вредоносное ПО носило многоплатформенный характер и поражало системы на базе Windows и Mac OS X, эксплуатируя уязвимости в необновлённом плагине Java (теоретически, данное ПО может быть адаптировано и для атаки на Linux).
Во-вторых, вредоносное ПО не сохраняло никаких данных на диск и не порождало новых процессов, а работало исключительно в памяти штатного процесса javaw, что существенно усложнило выявление антивирусами, но позволило сохранить работоспособность только до первого перезапуска. Проблема с небольшим временем жизни зловредного ПО была решена через обеспечение высокой вероятности повторного поражения, для чего эксплуатирующий уязвимость код был интегрирован в рекламные блоки одного из клиентов сети AdFox, материалы которой размещаются на ряде крупнейших новостных сайтов, таких как РИА Новости и Газета.Ру. Подразумевалось, что пользователь регулярно посещает один и тот же новостной сайт, поэтому заражение будет происходить вновь и вновь.
После активации, вредоносное ПО осуществляло отправку на сервер злоумышленников истории посещений сайтов и запросы на получение управляющих команд. В случае, когда среди сайтов встречались службы online-банкинга, на машину жертвы дополнительно устанавливалось троянское ПО Lurk, пытающееся перехватить данные платёжных идентификаторов пользователя для последующей кражи средств с банковских счетов.
Упомянутый выше тип вредоносного ПО указывает на новую тенденцию, связанную с поражением только запущенного в данный момент браузера или связанных с ним плагинов, без модификации внешних компонентов (файлов на диске). В современном мире браузеры уже настолько плотно вошли в обиход, что не закрываются неделями и всё больше используются как платформа для основной работы. Внедрение вредоносного кода путем модификации непосредственно уже выполняемого процесса браузера/плагина может существенно усложнить выявление подобного рода атак.
Источники править
- Главная ссылка к новости (http://www.securelist.com/ru/b...) (Архивная копия от 4 декабря 2013 на Wayback Machine)
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.
