Trend Micro обнаружила факт массовой компрометации почти 100 000 веб-страниц
15.08.2011
Антивирусная компания Trend Micro сообщила об обнаружении нового троянского кода, авторы которого за несколько дней скомпрометировали более 90 000 веб-страниц на нескольких популярных eCommerce-сайтах. В компании говорят, что с учетом растущей динамики взломов и размещений троянца, через несколько дней количество инфицированных страниц может достичь 6 млн.
Согласно данным Trend Micro, все взломанные сайты работают на базе системы управления контентом osCommerce, исходники которой доступны в интернете свободно. Как и в большинстве нынешних атак, конечной целью данной атаки является получение личных и банковских данных интернет-пользователей.
После заражений легитимных сайтов, на них размещаются редиректоры, которые проводят пользователей через цепочку адресов-посредников. В конечном итоге пользователи приходят на страницу с эксплоитом JS_EXPLOIT.BRU, который пытается различными способами разместить на компьютере пользователя троянец TROJ_JORIK.BRU. После инсталляции данный троянец ищет на компьютере различные данные, такие как интернет-кеш, cookie-файлы, истории, персональные и банковские данные. Отправка информации идет на централизованный сервер, управляемый хакерами.
От многих других похожих атак данную атаку отличает использование подхода get-it-and-go, то есть, троянец самоуничтожается после выполнения работы. По своей структуре кода Jorik напоминает серию банковских троянцев Zeus.
