Хакеры взломали 40000 сайтов

Взломано около 40000 сайтов. Их посетители автоматически перенаправлялись на сторонний сайт, который пытается заразить компьютеры вредоносными программами. Об этом сообщила компания Websense, специализирующаяся на компьютерной безопасности. На взломанных сайтах размещен JavaScript-код, который направляет пользователей на фальшивый сайт Google Analytics, а затем на другой вредоносный сайт, говорит Карл Леонард (Carl Leonard), исследователь киберугроз из Websense.

Зараженные веб-сайты, вероятно, были взломаны при помощи SQL-инъекции, которая эксплуатирует неправильно настроенные веб-приложения. Другая возможность заражения заключается в получении хакерами полномочий администраторов сайтов. Это возможно, при условии, что хакеры использовали автоматизированные инструменты для поиска уязвимостей веб-сайтов, сказал Леонард.

После того, как пользователь был направлен с фальшивого сайта Google Analytics на другой вредоносный веб-сайт, хакерский сервер проверяет, есть ли на компьютере жертвы уязвимости в браузере Internet Explorer или Firefox, которые могут быть использованы для установки вредоносных программ, продолжает Леонард. Если уязвимые программы не будут найдены, будет сгенерировано ложное предупреждение о том, что компьютер заражен вредоносной программой, а затем пользователь будет побужден скачать программу, якобы для решения проблемы безопасности, но которая на самом деле является трояном.

По состоянию на прошлую пятницу, 29 мая 2009 года, только четыре из 39 антивирусных программ детектировали этот новый троян. Хотя на сегодняшний день ситуация наверняка изменилась, потому что Websense предоставила образцы вредоносных программ другим антивирусным компаниям. Не совсем ясно, что хакеры делают с скомпрометированными ПК. Возможно, они используются для отправки спама, становятся частью ботнета или с них воруются персональные данные.

Опасный сервер, который занимается распространением вредоносных программ, находится на Украине, в том же регионе, что и пресловутая компания Russian Business Network (RBN). RBN является бандой киберпреступников и на данный момент считается неактивной. "Является ли эта массовая атака деятельностью этой группы, или же этим руководит кто-то другой, не известно. Известно, что этот кто-то использует некоторые методы, аналогичные тем, что использовались этой кибергруппировкой в прошлом, – сказал Леонард. – Очень трудно точно определить, кто за этим стоит".