Совершена атака на крупную хостинговую компанию – пострадали тысячи сайтов

В результате атаки на 123-reg.co.uk - одного из крупнейших британских Интернет-провайдеров, пострадало огромное количество сайтов, размещенных его на хостинге.

Согласно сообщению компании Sucuri Security, обнаружившей нападение, в PHP файлы инфицированных сайтов был внедрен закодированный на base64 код с использованием JavaScript. Этот код представляет собой элемент скрипта,  который загружает вредоносный контент с внешних доменов, таких как meqashopperinfo.com, meqashoppercom.commeqashopperonline.com и www4.in-scale-feed.in. В данном случае, посетители зараженных сайтов направлялись на вредоносные страницы, где был размещен лже-антивирус.

Принцип действия подобных вредоносов заключается в том, что при попадании в систему, они имитируют сканирование, при этом уведомляя о наличии вредоносных объектов. По завершении сканирования, программа предлагает чудесное «излечение», но после покупки «лицензионной» версии. Причем, вредонос будет постоянно напоминать о присутствующих в системе «чужеродных» объектах до тех пор, пока пользователь не отправит деньги.

Как известно, подобные «разработки» мошенников, нацелены на то, чтобы вынудить легковерных пользователей заплатить за «лицензионную версию антивируса», и заодно выкрасть персональные данные жертв. Но при этом, несмотря на многочисленные предупреждения, многие пользователи попадаются на эту уловку и отправляют деньги, дабы избавится от надоедливых уведомлений.

Как сообщил исследователь компании Sucuri, Девид Деде, в результате проведенного исследования, было обнаружено, что инфицированные домены зарегистрированы на небезызвестную «Хилари Небер». Дело в том, что это вымышленное имя, которое используется мошенниками для регистрации доменов, и впоследствии, размещения сайтов с вредоносным содержанием, как это было в случае с другими крупными провайдерами: Go Daddy, Network Solutions, Bluehost и RackSpace.

Этот инцидент вынудил компании предпринять некоторые меры для усиления безопасности. Они уведомили и рассказали о мерах предосторожности пользователям и создали автоматизированную систему очистки.

Стоит отметить, что подобные атаки на хостинговые компании, как правило, не означают, что на сайтах присутствуют уязвимости. В подобных случаях, злоумышленники использует автоматизированные средства для обнаружения IP адресов всех уязвимых сайтов, а затем сразу во все  сайты внедряют вредонос.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

С помощью левой Android-версии WhatsApp китайцы угнали 1 млн аккаунтов

Meta (признана в России экстремистской, её деятельность запрещена) пытается засудить ряд китайских компаний за разработку «неофициальной» Android-версии мессенджера WhatsApp. Согласно исковому заявлению, организации HeyMods, Highlight Mobi и HeyWhatsApp украли таким образом более миллиона аккаунтов.

Судебные документы гласят, что вредоносные мобильные приложения были доступны для загрузки на трёх сайтах упомянутых компаний. Помимо этого, сомнительный софт можно было скачать из магазинов Google Play Store, APK Pure, APKSFree, iDescargar и Malavida.

После установки приложения запускали встроенную вредоносную составляющую для сбора конфиденциальных данных, включая аутентификационные сведения. Всё это использовалось для получения контроля над аккаунтами пользователей и последующей рассылки спама от их имени.

«После того как жертвы устанавливали вредоносные приложения, им предлагали ввести учётные данные от их аккаунтов. Именно так логины и пароли уходили разработчикам. Дополнительно программы собирали все сведения для аутентификации», — пишет истец.

Один из вредоносов — AppUpdater for WhatsPlus — загрузли и установили более миллиона пользователей смартфонов на Android (данные официального магазина Google Play Store).

 

«Недавно нашей команде удалось обнаружить приложения от разработчиков “HeyMods“ и “Hey WhatsApp“. Этот софт обещал новые функциональные возможности, однако на деле крал данные пользователей», — объясняет Уилл Каткарт, возглавляющий разработку WhatsApp в Meta (признана в России экстремистской, её деятельность запрещена).

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru