Новый вредоносный код атакует Apache

Александр Панасенко 25 Декабря 2013 - 13:47

...

Новое вредоносная программа, функционирует как модуль для веб-серверов Apache и Nginx продается на подпольных хакерских форумах, говорят в ИТ-компании IntelCrawler. Новый вредонос получил название Effusion и согласно описанию он может вставлять код в реальном времени в веб-сайты, размещенные на скомпрометированных веб-серверах. Инъекции кода могут создать условия для переадресации на хакерские сайты, кроме того атакующие могут встраивать разные социально-инжениринговые тактики для обмана пользователей.

IntelCrawler сообщает, что Effusion работает с сервером Nginx 0.7 и старше, вплоть до текущей версии 1.4.4, а также с 32- или 64-битной версией Apache под Linux или FreeBSD. Маскируется вредонос под модуль, расширяющий базовую функциональность веб-сервера. Сам по себе вредонос может вставлять заданный контент в различные MIME-типы, в частности в JavaScript, HTML или PHP либо вначале страницы, либо по специальным тэгам в разметке. Атакующие могут также обновлять конфигурацию вредоноса и удаленно контролировать модификации кода, пишет cybersecurity.ru.

В коде также есть возможность фильтрации, которая ограничивает события при наступлении инъекции кода. Effusion поддерживает фильтрацию по заголовкам, источникам заходов пользователей, пользовательским агентам, IP-адресам или их диапазонам. Одновременно с этим, вредонос также старается заполучить root-доступ к системе, чтоы оператор кода смог проводить другие деструктивные действия с зараженным сервером.

Андрей Комаров, генеральный директор IntelCrawler, рассказал, что авторы Effusion просят на форумах за скомпилированный вариант вредоноса 2500 долларов, что является довольно высокой ценой даже по меркам функциональных вредоносных кодов и может указывать на то, что авторы этой разработки намеренно ограничивают круг пользователей их продукта.

Отметим, что вредоносные модули для Apache появляются не впервые , однако до сих пор серверу Nginx удавалось избежать этой участи. Впрочем, сейчас доля Nginx на мировой арене преодолела 14%, согласно данным Netcraft, и злоумышленники начали обращать внимание в том числе и на этот продукт.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Яков Шпунт 18 Августа 2025 - 10:40

Android Мошенничество Онлайн-мошенничество Домашние пользователи

Мошенники навязывают трояны под видом приложений для записи к врачам

МВД России предупредило о новой схеме обмана, связанной с навязыванием установки вредоносных приложений под видом сервисов для быстрой записи к врачу. Под предлогом ускорения получения талонов злоумышленники предлагают скачать программу, которая на деле предназначена для удалённого управления устройством и кражи данных, включая банковские пароли и доступы к онлайн-сервисам.

Как сообщает ТАСС со ссылкой на материалы ведомства, мошенники выходят на связь с потенциальными жертвами через мессенджеры.

В разговоре они называют собеседников по имени, подробно расспрашивают о трудностях с записью в поликлиники, а затем предлагают «решение» в виде установки специального приложения для поиска свободных талонов. На самом деле оно используется для кибератаки и похищения данных. В результате аферисты получают доступ к деньгам и аккаунтам жертвы.

Схожая схема применялась ещё в 2023 году, но тогда мошенники действовали под другими легендами — чаще всего связанными с доставкой. Для загрузки поддельных приложений они даже создавали копии Google Play, визуально неотличимые от настоящего магазина.

Осенью 2024 года фиксировалось снижение активности таких группировок, что связывали с жёсткой политикой Telegram и ряда платёжных систем, куда преступники выводили похищенные средства.

Однако эксперты тогда отмечали, что это лишь временный спад, пока злоумышленники создают собственную инфраструктуру для дальнейшей работы.