Малуер кампанията
Darkleech, която е отговорна за компрометирането на хиляди уебсайтове получи обновление. Специалисти по информационна сигурност отчитат, че ръководителите на малуера са впрегнали уязвимости в платформите на Java и Adobe за успешното разпространение на рансъмуера
Reveton. Компанията за информационна защита FireEye публикува
материал в блога на сайта си за последната вълна от атаки на
Darkleech, при която мишена на киберпрестъпниците стана и самата компания. За инцидента ги информирали техни колеги, които им съобщили, че адрес свързан с компанията бива използван за разпространението на доставянето на експлойт."Изглежда, че тук не става дума за таргетирана атака, а става въпрос за поредната вълна от атаки, при която се използват компрометирани Horde/IMP Plesk уебмейл сървъри за доставянето на Java експлойти, посредством които на уязвимите машини се сваля вариант на Reveton".В интервю за V3, Джош Гомез, разработчик към FireEye споделя, че атаката е вариант на традиционната техника на Darkleech и използва многоетапен процес за пренасочването на потребителя към сайтове със зловреден код на тях."Самият Darkleech е отговорен за това, че ви отвежда на страницата, където се осъществява експлоатирането на уязвимостите. Може да мислите за него, като за мошеник, който изскача от тъмна алея, докато вървите към магазина. Вървите си, а той изкача и ви казва: "Ей, ела насам. Това е пътя за магазина". В следващия момент вие усещате, че го следвате и накрая се оказвате ограбен и набит от няколко маскирани мъже", обяснява Гомез.Следващият етап е самото експлоатиране и инфектиране на системата. Обикновено адресът, към който е привлечена жертвата е страница, на която е разположен комплект за експлоатиране на уязвимости, като Blackhole. Blackhole представлява професионално изготвен фреймуърк за автоматично експлоатиране на уязвимости в браузъри, а така също и на версии на софтуер на Java или Adobe, като Adobe Reader да речем. Според Гомез, новият тип атака има потенциала да създаде доста главоболия за много бизнеси по света, тъй като методът използван от създателите на атаката може да остане скрит за доста от известните антималуер решения и има потенциал за разпространението на значително повече малуер, ако бъде комбиниран с Blackhole. "За да се защитят срещу подобен род атаки, както бизнесите, така и отделните потребители трябва да поддържат своите браузъри винаги обновени до последната версия на софтуера, а така също версиите на Java и Adobe Reader, които ползват. А ако присъствието на Java не е необходимо, то може да бъде деактивирана, за да се избегнат атаки, насочени към платформата. Помощ тук, разбира се може да окажат и решения за обезпечаване на периметъра на сигурност и винаги обновени антивирусни решения, а така също и HIPS системи", завършва Гомез.Darkleech представлява зловреден модул, който е насочен към Apache сървъри. Смята се, че посредством него са инфектирани хиляди уебсайтове, превръщайки ги в мощен инструмент за разпространението на малуер. И нещо друго - за да изглеждат нещата още по-зле, Darkleech се предлага в доста дарк маркет пространства за сума от порядъка на едва $1000.
