Исследование

Pegel в баннере

В процессе слежения за угрозой Pegel мы обнаружили занятную особенность: переходы на зловредные веб-страницы с эксплойтами стали осуществляться не только с зараженных легитимных веб-страниц, но и с флеш-роликов, которые также располагались на легитимных веб-сайтах. Естественно, такое нестандартное поведение не могло нас не заинтересовать, и мы решили изучить его подробнее.

Подобный флеш-ролик в браузере выглядел как ничем не примечательный баннер, и при клике на него мы действительно попадали на рекламируемый веб-сайт.

Однако проанализировав ActionScript-код ролика, мы обнаружили следующий скрипт, который исполнялся непосредственно при загрузке самого ролика:

Если говорить вкратце, то попутно с отображением баннера незаметно исполнялся скрипт, расположенный на сервере злоумышленников, который и перенаправлял пользователя на веб-страницу с эксплойтами.

В итоге мы пришли к выводу, что статичный баннер-картинка на легитимных веб-сайтах был заменен на флеш-ролик с «изюминкой». Оставался один вопрос — каким образом?

Как выяснилось, на всех зараженных таким образом веб-сайтах была установлена баннерная платформа OpenX. А в декабре прошлого года для OpenX был представлен новый модуль — Open Flash Chart 2. Примечательно, что в этом модуле чуть раньше была найдена уязвимость, которая и позволяла злоумышленникам загружать на сервер исполняемый код.

Похоже, разработчики OpenX не знали об этой уязвимости и предложили своим пользователям скачать уязвимую версию модуля. В результате такой оплошности среди зараженных веб-сайтов оказались, например, thepiratebay.org, esarcasm.com, tutu.ru и множество других ресурсов, которые использовали платформу OpenX и уязвимый модуль.

Злоумышленники также позаботились о том, чтобы пользователи OpenX не смогли обновиться до последней версии продукта с исправленной уязвимостью, для чего организовали DDoS-атаку на официальный веб-сайт проекта – openx.org. Веб-сайт до сих пор находится в нерабочем состоянии, однако ссылка на новый дистрибутив функционирует — его можно скачать отсюда.

Администраторам ресурсов, использующих OpenX, рекомендуется установить новую версию платформы либо временно удалить файл admin/plugins/videoReport/lib/ofc2/ofc_upload_image.php из директории, в которой установлен OpenX.

Pegel в баннере

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

Операция Триангуляция: ранее неизвестная целевая атака на iOS-устройства

В процессе мониторинга собственной корпоративной Wi-Fi сети, мы обнаружили подозрительную активность нескольких iOS-устройств. В результате анализа были обнаружены следы ранее неизвестной вредоносной программы.

Не только стилер: бэкдор Gopuram распространялся посредством атаки на цепочку поставок 3CX

В ходе изучения атаки 3CX на одном из компьютеров мы обнаружили файл guard64.dll. Библиотека с таким же именем использовалась в недавних развертываниях бэкдора, который мы назвали Gopuram и отслеживаем с 2020 года.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике