Fałszywy antywirus oferowany z polskich domen

dodał 2 sierpnia 2012 o 15:14 w kategorii Drobiazgi, Włamania, Złośniki  z tagami:
Fałszywy antywirus oferowany z polskich domen

Jak donosi firma Sucuri, kilka tysięcy serwerów pod kontrolą włamywaczy przekierowuje ruch na strony oferujące fałszywe oprogramowani antywirusowe, zarejestrowane w domenach z końcówką .pl.

Kampania nazwana „blackmuscats” (od ciągu występującego w przekierowywanych linkach) została po raz pierwszy opisana przez Sucuri wczoraj. Odkryto przynajmniej 17 tysięcy serwisów internetowych, które poprzez zmodyfikowany plik .htaccess przekierowują cały ruch przychodzący do stron serwujących fałszywe oprogramowanie antywirusowe. Sam atak wg istniejących doniesień prawdopodobnie wykorzystuje błędy w jednym z modułów Joomli (com_jce) i pozostawia na serwerze tylne furtki w php, umożliwiające przywrócenie zmian w razie naprawienia ich przez właściciela serwisu.


Okno wyświetlane przez fałszywego antywirusa

Przykładowy zmodyfikowany plik .htaccess:

Plik oznacza, że każdy użytkownik, wchodzący na stronę z wyszukiwarki (co zabezpiecza przed zbyt szybkim odkryciem przez właściciela lub regularnego gościa witryny), zostanie przekierowany na stronę atakujących. Strony te znajdują się w domenie .ru – poniżej lista najczęściej występujących adresów:

Każdy z tych adresów przekierowuje z kolei na domenę docelową, gdzie znajduje się fałszywy antywirus. Co ciekawe, dzisiaj na liście stron hostujących fałszywego antywirusa pojawiło się kilka domen z końcówką .pl.

To dość interesująca tendencja – nie pamiętamy, kiedy ostatnio polskie adresy były w ten sposób wykorzystywane przez atakujących.