Cesta útočníků: SQL injection, JavaScript, přesměrování...

Přes půl milionu webových serverů bylo napadeno novým webovým útokem, k němuž došlo pomocí úpravy SQL kódu (SQL injection) a vložení javascriptu, který přesměruje uživatele na dvě URL adresy se závadným obsahem. Zřejmě bylo použito automatizovaného nástroje vyhledávajícího zranitelnosti webových serverů.



Společnost Trend Micro uvedla, že už přes půl milionu webových serverů bylo napadeno novým webovým útokem, k němuž došlo pomocí úpravy SQL kódu (SQL injection) a vložení JavaScriptu, který přesměruje uživatele na dvě URL adresy se závadným obsahem. Přesměrování proběhne okamžitě a bez vědomí uživatele.

Některé z těchto přesměrování vedou na adresy, na jejichž webové stránce se zobrazí náhodně vygenerovaný obrázek. Jde o obvyklou akci používanou při zobrazování reklam. Stránka také vyžívá cookies ke zjištění doby, po kterou je obrázek zobrazen a po určité době jej vymění za jiný. Kromě zobrazení obrázku však může být uživatel dále přesměrován na mnohem nebezpečnější cestu, během níž dojde ke stažení malwaru JS_DLOADER.AEHM a TROJ_REALPLAY.BR. Oba tyto kódy poté stáhnou do počítače trojského koně TROJ_AGENT.AKVP.

Kromě toho mohou být do systému staženo mnoho dalších škodlivých souborů včetně: JS_SENGLOT.C, HTML_DLOADR.CJ, JS_REPL.CB, JS_AGENT.ALIG, TROJ_AGENT.ALGQ a EXPL_EXECOD.A. Podle Trend Micro je zajímavé, že posledně jmenovaný malware je relativně starý a obsahuje kódy pokoušející se využívat různé zranitelnosti aplikací Yahoo
Jukebox a onl-line hry Lianzong používané převážně v Číně.

Mezi napadené stránky patří několik zdravotnických, výukových, vládních a zábavních serverů po celém světě. Fakt, že webové stránky jsou umístěny v mnoha různých lokalitách včetně Indie, Velké Británie, Kanady, Francie a Číny, vyvolává podle TrendMicro dojem, bylo použito automatizovaného nástroje vyhledávajícího zranitelnosti webových serverů.

Technologie Trend Micro pro ochranu proti hrozbám již znemožnila přístup k těmto škodlivým serverům. Malware uvedený výše je také zahrnut do nejnovějšího souboru s malwarovými vzory. Na ochranu postižených uživatelů vytvořila Trend Micro nový nástroj Web Protection Add On, který lze stáhnout zde.

O tomto útoku jsme na Security Worldu již psali v článku
Masivní útok infikoval i server OSN, o chybě se ale vedou spory

Viz také:
Botnet Kraken padl do rukou výzkumníkům, ti se ale neodvážili počítače čistit










Komentáře