 |
 |
Home | | | |
Short News | | | |
Long News | | | |
Long Reads | | | |
Support | | | |
Library |
23 апреля, вторник, 00:00
|
|
Home | | | |
Short News | | | |
Long News | | | |
Long Reads | | | |
Support | | | |
Library |
В инфраструктуру ботнета, используемого фармаспамерами, входят как минимум 5 тыс. сайтов с редиректами.
Ботнет под названием Brain Food способен добавить головной боли веб-разработчикам: он продвигает сомнительные фармацевтические изделия через страницы, размещенные на легитимных площадках. Новая спам-кампания пока вполне успешна, так как использует внедряемый на сайты PHP-скрипт, хорошо защищенный от обнаружения.
За последние четыре месяца исследователи из Proofpoint обнаружили 5 тыс. скомпрометированных сайтов, ассоциируемых с Brain Food. В опубликованной в пятницу записи в блоге компании сказано, что за последнюю неделю вредоносную активность проявили 2400 таких площадок.
Установленные на них скрипты перенаправляют посетителей на страницы с рекламой диетических пилюль и стимуляторов умственного развития, которые якобы очень хвалят в американских телешоу Shark Tank (“Акулы бизнеса”) и на сайте Entertainment Today.
“Хотя этот ботнет пока не столь велик, как другие инфраструктуры, используемые для рассылки спама, его размеров достаточно, чтобы операторы могли с легкостью перенастраивать редиректы”, — пишет Кевин Эпштейн (Kevin Epstein), вице-президент Proofpoint по реагированию на интернет-угрозы, в email-комментарии для Threatpost.
Как удалось установить, 40% взломанных сайтов хостятся у GoDaddy, хотя в сетях UnitedLayer, CyrusOne, OVH и DreamHost их тоже много. “Злоумышленники могут оставить на сайте множество копий PHP-сценария, — предупреждают исследователи в блоге. — Мы также обнаружили этот скрипт на сайтах, использующих разные системы управления контентом, в том числе WordPress и Joomla”.
Тема спам-писем, распространяемых в рамках текущей кампании, обычно не указана, а само сообщение содержит лишь приветствие и короткую ссылку — goog.gl или bit.ly. Когда Google заблокировала анонимный доступ к своему сервису сокращения ссылок, спамеры быстро нашли способ обхода этого ограничения.
Внедряемый на сайты полиморфный PHP-код, по свидетельству Proofpoint, закодирован по base64 и содержит множество слоев обфускации, затрудняющей обнаружение и анализ. “Вариант, недавно загруженный в репозиторий зловредов, ни один из антивирусов не признал вредоносным”, — пишут исследователи.
Если на зараженный сайт приходит поисковый робот, скрипт Brain Food вначале перенаправляет его на заданную страницу, затем ждет пять секунд и осуществляет перенаправление в корневой домен. После этого вновь следует задержка, и в итоге посетителю не отдается никакого контента или он через очередной редирект попадает на сайт ЮНИСЕФ.
“Авторам атаки нужно, чтобы редирект работал для жертв, а поисковики, аналитики и песочницы перенаправлялись на безобидный сайт, будь то корневой домен скомпрометированного ресурса или сайт ЮНИСЕФ, — поясняет в письме Эпштейн. — Во многих случаях вшитых в код задержек достаточно для того, чтобы время ожидания системы автоматизированного анализа истекло до обнаружения потенциально вредоносного редиректа”.
Управление атаками Brain Food и учет результатов осуществляются с помощью C&C-сервера — prostodomen1[.]com или thptlienson[.]com. Еще одна примечательная особенность: как показал анализ, код внедряемого злоумышленниками скрипта содержит бэкдор, “позволяющий удаленно выполнить шелл-код на серверах, конфигурация которых допускает выполнение PHP-команды system”. В настоящее время эта опасная функция, по словам Эпштейна, не используется.
 |
нравится | не нравится |  |
Рейтинг: | 0 |
Всего голосов: 0 |
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
| Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |
