SOS :: Security Operation Space
17 августа, пятница, 00:00
|
Hot News:

Зловредный PHP-скрипт за неделю проявил себя на 2400 сайтах

23 мая 2018 г., среда, 16:10

В инфраструктуру ботнета, используемого фармаспамерами, входят как минимум 5 тыс. сайтов с редиректами.

Ботнет под названием Brain Food способен добавить головной боли веб-разработчикам: он продвигает сомнительные фармацевтические изделия через страницы, размещенные на легитимных площадках. Новая спам-кампания пока вполне успешна, так как использует внедряемый на сайты PHP-скрипт, хорошо защищенный от обнаружения.

За последние четыре месяца исследователи из Proofpoint обнаружили 5 тыс. скомпрометированных сайтов, ассоциируемых с Brain Food. В опубликованной в пятницу записи в блоге компании сказано, что за последнюю неделю вредоносную активность проявили 2400 таких площадок.

Установленные на них скрипты перенаправляют посетителей на страницы с рекламой диетических пилюль и стимуляторов умственного развития, которые якобы очень хвалят в американских телешоу Shark Tank (“Акулы бизнеса”) и на сайте Entertainment Today.

“Хотя этот ботнет пока не столь велик, как другие инфраструктуры, используемые для рассылки спама, его размеров достаточно, чтобы операторы могли с легкостью перенастраивать редиректы”, — пишет Кевин Эпштейн (Kevin Epstein), вице-президент Proofpoint по реагированию на интернет-угрозы, в email-комментарии для Threatpost.

Как удалось установить, 40% взломанных сайтов хостятся у GoDaddy, хотя в сетях UnitedLayer, CyrusOne, OVH и DreamHost их тоже много. “Злоумышленники могут оставить на сайте множество копий PHP-сценария, — предупреждают исследователи в блоге. — Мы также обнаружили этот скрипт на сайтах, использующих разные системы управления контентом, в том числе WordPress и Joomla”.

Тема спам-писем, распространяемых в рамках текущей кампании, обычно не указана, а само сообщение содержит лишь приветствие и короткую ссылку — goog.gl или bit.ly. Когда Google заблокировала анонимный доступ к своему сервису сокращения ссылок, спамеры быстро нашли способ обхода этого ограничения.

Brain-Food-Spam-Example

Внедряемый на сайты полиморфный PHP-код, по свидетельству Proofpoint, закодирован по base64 и содержит множество слоев обфускации, затрудняющей обнаружение и анализ. “Вариант, недавно загруженный в репозиторий зловредов, ни один из антивирусов не признал вредоносным”, — пишут исследователи.

Если на зараженный сайт приходит поисковый робот, скрипт Brain Food вначале перенаправляет его на заданную страницу, затем ждет пять секунд и осуществляет перенаправление в корневой домен. После этого вновь следует задержка, и в итоге посетителю не отдается никакого контента или он через очередной редирект попадает на сайт ЮНИСЕФ.

“Авторам атаки нужно, чтобы редирект работал для жертв, а поисковики, аналитики и песочницы перенаправлялись на безобидный сайт, будь то корневой домен скомпрометированного ресурса или сайт ЮНИСЕФ, — поясняет в письме Эпштейн. — Во многих случаях вшитых в код задержек достаточно для того, чтобы время ожидания системы автоматизированного анализа истекло до обнаружения потенциально вредоносного редиректа”.

Управление атаками Brain Food и учет результатов осуществляются с помощью C&C-сервера — prostodomen1[.]com или thptlienson[.]com. Еще одна примечательная особенность: как показал анализ, код внедряемого злоумышленниками скрипта содержит бэкдор, “позволяющий удаленно выполнить шелл-код на серверах, конфигурация которых допускает выполнение PHP-команды system”. В настоящее время эта опасная функция, по словам Эпштейна, не используется.

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
16:12
16:01
15:18
14:03
13:56
13:16
13:03
12:04
12:00
10:55
09:48
09:16
09:12
08:27
07:23
07:00
06:36
06:02


© 2013—2018 SOS :: Security Operation Space (Пространство Операций Безопасности)  // Обратная связь  | 0.098
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.