Если поискать в сети определение понятия “iframe”, можно получить результаты типа “ограничение кодека Н.264, установленное компанией Apple для облегчения конечному пользователю монтажа видеоматериалов”. Такие iframe’ы содержат всю информацию, необходимую для передачи изображения, и служат как образец для создания других фреймов. Однако сейчас мы обсудим другой вид фреймов — HTML-тэги.
Мы часто сталкиваемся с iframe’ами при анализе вредоносных сайтов. Iframe’ы могут иметь различные атрибуты. Например, невидимые iframe’ы часто используют при организации drive-by заражений вредоносными программи. Для дальнейшей маскировки часто используется простое шифрование, или обфускация, которое браузеры расшифровывают «на лету». Зная это, можно найти интересные веб-сайты. Например, поиск в интернете строки «#64#6f#63#75#6d#65#6e#74#2e#77#72#69#74#65» (что расшифровывается как “document.write”) выдаст более 10 000 результатов.
Первый результат поиска — это ссылка на торрент-сайт, где пользователи обсуждают вредоносный пакет. Интересно то, что среди результатов поиска также находится ссылка на «зараженный подкаст», размещенный на itunes.apple.com, что возвращает нас к началу разговора об iframe’ах. Внедренный код содержит iframe, ведущий на moshonken(dot)com — известно, что с данного ресурса в прошлом распространялись эксплойты. В данный момент ресурс, судя по всему, не работает, но, как видно из поиска, обращающийся к нему вредоносный код по-прежнему встраивается во многие легитимные сайты. «Лаборатория Касперского» распознает данный вредонос как “HEUR:Trojan.Script.Iframer”. Мы сообщили компании Apple о данной проблеме через страницу обратной связи на их сайте.
Вредоносные фреймы: теперь и от Apple?