Сайты трех российских банков взломаны по схеме нападения на PHP.NET

Сайты трех российских банков взломаны по схеме нападения на PHP.NET


Во всех случаях использовалась одинаковая схема заражения, разными были лишь используемые наборы эксплоитов.

«Лаборатория Касперского» сообщает о вредоносной активности на сайтах трех российских банков. Все три страницы стали жертвами одного и того же сильно зашифрованного и обфусцированного скрипта, скрытно перенаправляющего браузер на вредоносный, распространяющий эксплоиты, сайт.

Посетив любой из трех зараженных ресурсов и просмотрев, откуда загружаются эксплоиты и вредоносные файлы, можно найти поразительное сходство с схемой заражения PHP.NET.

В случае его заражение наборы эксплоитов загружались через сайты-редиректоры:

hxxp://url.whixxxsb.co.uk/stat.htm
hxxp://aes.whxxxdigitalphoto.co.uk/nid?1

Три зараженных российских сайта использовали похожие адреса:

hххp://b-network.northgaxxxminalattorney.com/stat.htm
hххp://e-dev.cobbxxxminaldefenseattorney.com/nid?1

Единственное различие – это наборы эксплоитов, загружаемые браузером жертвы: PHP.NET использовал Magnitude, а банки – Neutrino.

Как результат, эксплоиты используют уязвимость Java CVE-2013-2463 и запускают на ПК бэкдор Neurevt. Он способен:

перехватывать HTTP/HTTPS трафик, в том числе банковскую информацию;
запрещать загрузку в системе множества антивирусных продуктов;
похищать пароли от многих FTP, SSH, почтовых клиентов, мессенджера Skype, а также сохраненные в браузере пароли;
распространяться через съемные носители;
сделать компьютер частью ботнета и осуществлять DDoS-атаки.

Продукты ЛК детектируют вредоносное ПО как Trojan.Win32.Neurevt.ei, а Java-эксплоиты – как HEUR:Exploit.Java.Generic.

ЛК предупредила банки о наличии вредоносного кода на их web-сайтах.

Подробнее: http://www.securitylab.ru/news/447230.php

Добавь наш сайт в закладки зажми клавиши (Ctrl+D)

  • 100

Похожие новости
File engine/modules/xf_topics/1.php not found.

(0) Комметарии

К этой статье комментарии в данный момент отсутствуют :(

Информация
Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.