Эксплоиты на банковских сайтах

В СМИ, специализирующихся на информационной безопасности, то и дело встречаются сообщения о заражении крупных веб-ресурсов. Так, совсем недавно  стало известно о взломе известного сайта PHP.NET — злоумышленники разместили на нем iframe со ссылкой на  эксплоит-пак.  Тревожный звонок, но кто-то до сих пор уверен, что с серьезными сайтами, например, с банковскими, подобного произойти не может. Увы, может и еще как.

На днях один из наших пользователей сообщил о подозрительной активности на сайте одного из российских банков. Сайт оказался заражен, а после небольшого расследования с использованием KSN выяснилось, что заражены были также сайты двух других банков, тоже российских. Во всех случаях на главной странице сайта был размещен сильно обфусцированный и зашифрованный скрипт, который скрытно направлял браузер на вредоносный сайт с эксплоитами.

Код инфекции на странице

Если зайти на сайт любого из трех банков и посмотреть, откуда именно загружаются эксплоиты и вредоносные исполняемые программы, то можно увидеть поразительное сходство с тем, как происходило заражение на сайте PHP.NET.

Редиректоры и связка эксплоитов

В случае с заражением PHP.NET эксплоит-пак загружался через редиректоры по адресам:

hxxp://url.whixxxsb.co.uk/stat.htm
hxxp://aes.whxxxdigitalphoto.co.uk/nid?1

В случае с заражением сайтов трех российских банков использовались очень похожие адреса:

hххp://b-network.northgaxxxminalattorney.com/stat.htm
hххp://e-dev.cobbxxxminaldefenseattorney.com/nid?1

Различаются только эксплоит-паки, которые загружаются браузером жертвы. На сайте PHP.NET это был Magnitude, а на сайте банка использовался Neutrino.

В итоге эксплоиты через уязвимость CVE-2013-2463 в плагине Java загружают на компьютер и запускают бэкдор Neurevt, который:

• способен перехватывать HTTP/HTTPS трафик, в том числе банковскую информацию;
• запрещает загрузку в системе множества антивирусных продуктов;
• крадет пароли от многих FTP, SSH, почтовых клиентов, мессенджера Skype, а также сохраненные в браузере пароли;
• распространяется через съемные носители;
• может сделать компьютер частью ботнета и осуществлять DDoS-атаки.

Часть кода исполняемого файла бэкдора. Подчеркнуто имя API-функции, которую бэкдор перехватывает для прослушивания HTTPS-трафика

Бэкдор детектируется продуктами «Лаборатории Касперского» как Trojan.Win32.Neurevt.ei, Java-эксплоиты детектируются как HEUR:Exploit.Java.Generic.

Все три банка были уведомлены нами о наличии вредоносного кода на их веб-сайтах.

Для того чтобы не пасть жертвой злоумышленников, недостаточно просто ходить по проверенным сайтам – вредоносный код может ждать даже на, казалось бы, защищенном и проверенном ресурсе. Необходимо самому подумать о своей безопасности и, как минимум, своевременно обновлять браузеры и плагины к ним.