Исследование

FF pwn3d

FF – это легенда игровой индустрии, история, ставшая культовой не для одного поколения геймеров. И всё бы хорошо, если бы один из самых больших и старых порталов, посвященный данной игровой вселенной, не попал в поле зрения вирусных аналитиков:

Так, вредоносный скрипт вызывается с заглавной страницы с помощью стандартного кода авторизации:

В файле vbulletin_md5.js после расшифровки происходит вызов функции «document.write(«ifram»+»e src=…» с последующим редиректом на другой зараженный сайт, и уже от туда на сайт с эксплойтами, входящими в набор эксплойтов Justexploit:

  • CVE-2008-2992
  • CVE-2008-5353
  • CVE-2009-0927
  • и т.д.

После удачной эксплуатации уязвимости на компьютер жертвы загружается вредоносная программа из семейства Trojan-PSW.Win32.Papras, осуществляющая кражу паролей пользователя от веб-ресурсов, электронной почты, icq и ftp путём прослушивания сетевого трафика. Также данная вредоносная программа регулярно обращается к командному центру для получения обновлений и команд от злоумышленника.

Итого

Зацикленная схема работы злоумышленников, связанная с кражей паролей от ftp с последующим заражением веб-ресурсов для дальнейшего распространения вредоносных программ, стала уже классической, способной работать в автоматическом режиме без участия злоумышленника. Примеры этому можно найти в работе bredolab, gumblar и т.д. Применительно к этому случаю заражения, перенаправление на эксплойты осуществляется с ~500 зараженных сайтов, и число их постоянно растёт. При этом хочется обратиться к администраторам сайтов и посоветовать им:

  • Не хранить пароли в ftp клиентах
  • Использовать sftp при работе с сайтами

PS.
IP-адрес контрольной панели, раздающей эксплойты, — 91.213.94.10.
IP-адрес, куда отправляются украденные пароли, — 91.213.94.131.

FF pwn3d

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике