На днях стало известно о том, что команда злоумышленников взломала несколько тысяч различных сайтов, загрузив malware на серверы. Сделано это для того, чтобы заражать пользовательские ПК в момент посещения их владельцами скомпрометированного ресурса. Взломы проведены не вчера, кампания была тщательно замаскирована, и проводилась минимум несколько месяцев назад.
В основном поражались ресурсы на таких CMS, как WordPress, Joomla и SquareSpace. Информацию о случившемся предоставил специалист по информационной безопасности Джером Сегура, работающий в компании Malwarebytes. Хакеры, по его словам, поступили достаточно предусмотрительно. Зараженные сайты показывали посетителям сообщения о необходимости установить обновление для Firefox, Chrome или Flash.
Для того, чтобы избежать обнаружения, каждый IP, с которого отправлялись фальшивые уведомления, использовался не более одного раза для одного посетителя. Кроме того, шаблоны уведомлений загружались на сервера взломанных сайтов, так что большая часть данных поступала именно с «белого» ресурса, не занесенного ни в одну из баз фишинговых или опасных по иным причинам адресов.
Интересно, что те, кто соглашался с обновлением и кликал по сообщению, автоматически становились жертвами зловредного JavaScript-файла, загружаемого из DropBox. Этот скриптик в дальнейшем искал наличие присутствие признаков виртуальной машины или «песочницы», и если ничего такого не обнаруживалось, то начиналась загрузка уже финального зловреда, исполняемого файла, подписанного валидным цифровым сертификатом.
Такая тактика дала неплохие результаты — уведомление мало у кого вызывало подозрения (не будем все же забывать, что большинство пользователей — вовсе не специалисты по информационной безопасности), так что вирус поражал тысячи систем. И, кстати, JavaScript файл был обфусцирован, так что его анализ обычными методами затруднен. Кроме него злоумышленники использовали такие программное обеспечение, как банковский зловред Chthonic и затрояненная версия NetSupport — это вообще «белое» приложение, которое в обычной ситуации дает удаленный доступ к системе пользователя.
Вот так и выглядел процесс «обновления» браузера
Специалисты из Malwarebytes не смогли точно определить, сколько именно веб-сайтов смогли скомпрометировать злоумышленники. Представители компании написали специальный скрипт-паук, который по определенными признакам «понимал» наличие заражения и сообщал об этом создателям. Он, в частности, показал, что сотни Wordpress и Joomla сайтов заражены. Проверить можно и самостоятельно вот по этому нехитрому запросу. Есть предположение, что кампания по распространению зловреда была запущена не позже 20 декабря прошлого года. Злоумышленники смогли заразить ресурсы, сервера или CMS которых не были обновлены.
Сама атака была весьма продуманной, поэтому и привлекла внимание специалистов по информационной безопасности. Злоумышленникам удалось обмануть многие системы защиты, которые обычно блокируют подобного рода атаки.
Кстати, «взламывают» собственные сайты иногда и владельцы. Например, некоторые из них добавляют код криптомайнера для того, чтобы заработать немного денег. Это называется криптоджекинг — незаметный майнинг криптовалют на компьютерах посетителей сайтов. В такой схеме заработка нет ничего страшного, если бы не одно «но».
Первое — в большинстве случаев посетителей просто не уведомляют о том, что на их компьютерах будут сейчас майнить криптовалюту. Самое интересное, что скрипт для криптоджекинга Coinhive устанавливают даже владельцы интернет-магазинов, ресурсов, которые по умолчанию должны быть лишены сторонней рекламы или схем монетизации. На момент конца 2017 года Coinhive был установлен на нескольких тысячах сайтов электронной коммерции.
Справедливости ради нужно сказать, что многие интернет-магазины все же взламываются, и их владельцы ничего не знают о криптоджекинге. Более того, исследование Виллема де Грота, показало, что в 80% случаев на этих ресурсах установлен не только скрипт Coinhive, но также различные зловреды для скимминга — копирования реквизитов банковских платёжных карт клиентов магазинов.