Исследовательская лаборатория TrendLabs компании Trend Micro сообщила о серьезной эпидемии, затронувшей тысячи популярных итальянских сайтов.

По сообщению компании, вредоносный код, находящийся на зараженных сайтах, устанавливает на компьютер пользователя программу, способную похищать пароли и превращать компьютер в сервер, предназначенный для совершения зловредных атак. По данным TrendLabs, в течение 48 часов после начала эпидемии было взломано более 2 тыс итальянских сайтов. Trend Micro регистрировала удвоение числа жертв каждые 6-8 часов.

Подавляющее большинство пострадавших сайтов изначально находилось в Италии, однако очень быстро атака распространилась по всему миру. На зараженных сайтах размещен код, который направляет посетителей на сервер, где находится набор хакерских инструментов Mpack. С помощью этих хакерских программ фиксируется информация об атакуемых компьютерах, включая IP-адреса, а также возможности для взлома. Злоумышленники используют несколько вредоносных программ для того, чтобы остаться незамеченными и установить на зараженный компьютер программу регистрации клавиатурного ввода, которая предназначена для кражи такой персональной информации, как банковские данные и пароли.

Примечательно, что Mpack можно приобрести на ряде русских сайтов примерно за 700 долл.

Ставшие опасными сайты охватывают широкий спектр интересов – от туризма, автомобилей, фильмов и музыки, налогов и услуг по трудоустройству до сайтов некоторых итальянских городских советов и отелей. По всей видимости, большинство из этих сайтов использовали хостинг одного из крупнейших интернет-провайдеров Италии.

Специалисты TrendLabs описали процесс заражения:

URL первого уровня – зараженные или взломанные итальянские сайты. TrendLabs идентифицирует тег, который располагается на зараженных сайтах, как HTML_IFRAME.CU.

Пользователи сайта перенаправляются по специальному IP-адресу на сайт, где находится Javascript-загрузчик /JS_DLOADER.NTJ/. Этот сайт имеет URL второго и третьего уровня. Пытаясь вызвать переполнение буфера в браузере пользователя, JS_DLOADER.NTJ использует слабые места браузера.

С адреса уже четвертого уровня на сайты с URL третьего уровня загружается троянская программа, идентифицируемая Trend Micro как TROJ_SMALL.HCK.

Далее, с адресов пятого уровня происходит загрузка троянских программ TROJ_AGENT.UHL и TROJ_PAKES.NC При этом TROJ_AGENT.UHL может действовать в качестве прокси-сервера, который позволяет удаленному пользователю анонимно подключаться к Интернету через зараженный компьютер. TROJ_PAKES.NC сохраняется во временной папке пользователя и загружает с URL шестого уровня программу-вора, которая регистрирует клавиатурный ввод компьютера /разновидность троянской программы SINOWAL/.

Специалисты TrendLabs считают, что корпоративным пользователям необходимо как можно чаще обновлять ПО и по возможности принимать меры борьбы с вредоносным и шпионским программами, поскольку Интернет становится точкой входа номер один в корпоративную сеть.

Компания Trend Micro, Inc. является одним из лидеров на рынке программного обеспечения и услуг в области антивирусной защиты сетей и Интернет-контента. В состав корпорации, базирующейся в Токио, входят бизнес-подразделения, находящиеся в различных странах мира.