С сайта далай-ламы злоумышленники распространяют троянцев

Компания «Доктор Веб» информирует о распространении нескольких троянских программ с использованием взломанных злоумышленниками веб-сайтов. В частности, вредоносные программы загружаются с официального интернет-ресурса далай-ламы. Опасность грозит не только пользователям операционной системы Windows, но и Mac OS X.

Несколько дней назад пользователи проинформировали специалистов компании «Доктор Веб» о факте взлома неизвестными злоумышленниками официального сайта тибетского духовного лидера далай-ламы. Исследуя ситуацию, специалисты «Доктор Веб» выяснили, что при попытке открытия этого веб-сайта в окне браузера на компьютер пользователя загружался файл формата jar, содержащий эксплойт (CVE-2012-0507). С помощью этой уязвимости происходит автоматический запуск троянца для Mac OS X, добавленного в вирусные базы под именем BackDoor.Dockster.

Эта вредоносная программа помещается в домашнюю папку пользователя Mac OS X и запускается. При этом для ее функционирования не требуются администраторские привилегии — троянец может работать и под учетной записью обычного пользователя. BackDoor.Dockster способен фиксировать и передавать злоумышленникам нажатия клавиш на инфицированном компьютере (то есть пароли, которые вводятся на зараженном компьютере), а также выполнять различные команды, поступающие от злоумышленников, сообщает drweb.com.

Примечательно, что троянец BackDoor.Dockster.1 пытается загрузиться на компьютеры всех посетителей сайта далай-ламы, вне зависимости от используемой ими системной платформы. Вероятно, взломавшие данный сайт злоумышленники не смогли настроить на атакованном сервере соответствующую проверку клиентской ОС: в пользу этого предположения говорит то обстоятельство, что на инфицированном ресурсе специалистами «Доктор Веб» был обнаружен другой JAR-файл с именем install.jar, содержащий эксплойт CVE-2012-4681. С помощью этого файла на компьютер жертвы должна устанавливаться вредоносная программа семейства BackDoor.Gyplit, ориентированная на работу в ОС Windows и предназначенная для сбора и передачи злоумышленникам конфиденциальной информации, а также выполнения на инфицированной машине различных команд. Тем не менее, загрузки упомянутого выше JAR-файла в настоящий момент не происходит.

Известно о существовании как минимум еще двух веб-сайтов, при посещении которых выполняется проверка пользовательской ОС, и в зависимости от ее результатов на клиентский компьютер загружается соответствующий JAR-файл. В первом случае версия данного файла для пользователей Windows содержит Exploit.CVE2011-3544.83, с использованием которого происходит заражение вредоносной программой Trojan.Inject1.14703. Версия JAR-файла для других операционных систем эксплуатирует уязвимость CVE-2012-0507, при этом пользователи Mac OS X рискуют заразиться троянцем BackDoor.Lamadai.1. Эта же вредоносная программа загружается с инфицированного веб-сайта на компьютеры пользователей Linux, однако в данной операционной системе она неработоспособна.

Во втором случае на известном южнокорейском новостном сайте, освещающем события в Северной Корее, также осуществляется проверка операционной системы посетителя при помощи аналогичного сценария, однако вредоносный файл, в роли которого выступает троянец Trojan.MulDrop3.47574, «отдается» только пользователям Windows.

Имеют место и другие инциденты, связанные с именем далай-ламы: случаи распространения вредоносных программ и таргетированных вредоносных рассылок, так или иначе ассоциированных с темой борьбы за независимость Тибета, фиксировались и ранее. В целом можно говорить о тенденции использования злоумышленниками взломанных интернет-ресурсов для распространения вредоносного ПО, при этом атаки носят узконаправленный характер, поскольку взлому подвергаются в основном сайты политической и оппозиционной направленности, посвященные тибетской или северокорейской проблематике.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Google лишит Chrome уникальной функции безопасности XSS Auditor

Разработчики Google собираются лишить Chrome одной из функций безопасности, известной под именем XSS Auditor. Специалисты считают, что XSS Auditor не оправдала ожиданий и не справляется со своими обязанностями.

Функцию XSS Auditor добавили в далеком 2010 году с релизом Chrome v4. Как можно понять из имени, эта опция ищет в исходном коде страниц ресурсов паттерны, которые могут указывать на XSS-атаку.

Если известный браузеру XSS-паттерн найден, Chorme может удалить вредоносный код или заблокировать сайт целиком. Если ресурс блокируется полностью, обозреватель выводит пользователю сообщение «страница не работает».

На протяжении многих лет XSS Auditor была уникальной функцией для браузера Chrome, помогая ему качественно выделяться на фоне других подобных программ. Уже позже в других интернет-обозревателях эти возможности реализовали с помощью расширений.

Основная причина, по которой разработчики решили отказаться от XSS Auditor, заключается в большом количестве уязвимостей, позволяющих вредоносным сайтам обойти эту защитную функцию.

Еще один немаловажный мотив — ложные срабатывания, которые, так или иначе, преследуют XSS Auditor. В этом случае пользователь просто не может зайти на вполне безобидный и легитимный сайт.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru