Witryny zawierające złośliwy kod atakujący internautów staja się coraz bardziej popularne. Firmy antywirusowe tworzą coraz bardziej wyrafinowane skanery, przeszukujące sieć by oznaczyć niebezpieczne miejsca. Twórcy exploitów jednak również nie próżnują.
Analitycy firmy ESET wykryli na rosyjskich serwerach i opisali ciekawy przypadek procesu infekcji prowadzącej do paczki exploitów Blackhole. Początkowo infekcja przebiega wg dobrze znanego schematu. Zaczyna się od załadowania pliku JavaScript. Skrypt ten pobiega kolejny plik JS, tym razem z innego serwera. Drugi plik zawiera fragment zaciemnionego kodu, który po rozjaśnieniu okazuje się wstawiać zewnętrzną ramkę, zawierającą docelową, popularną paczkę exploitów Blackhole.
Jak zablokować automatyczne skanery?
Kod uruchamiający paczkę exploitów zawiera ciekawą funkcjonalność. Uzależnia on swoje wykonanie od wyniku funkcji onmousemove. Ta prosta metoda sprawia, że exploity nie uruchomią się, jeśli na stronę zajrzy automatyczny skaner firmy antywirusowej, który nie potrafi symulować działania użytkownika. Jeśli jednak na stronie pojawi się prawdziwy użytkownik, poruszający myszką – exploity uruchomią się, prawdopodobnie infekując jego system.
Kolejnym etapem komplikacji kodu jest przekazywanie dodatkowych parametrów do exploita przez funkcję wywołującą – bez tych parametrów, użytych do zdekodowania linka do ładunku exploita, do infekcji nie dojdzie.
W analizowanym wypadku jako pierwszy testowany jest exploit na lukę w Javie oznaczoną jako CVE-2012-0507. Jeśli ten atak okazuje się bezskuteczny, do boju rusza exploit na PDFa oznaczony jako CVE-2010-0188. Skutkiem pomyślnego wykonania kodu pierwszego lub drugiego exploita jest pobranie kolejnego elementu infekcji, czyli Win32/TrojanDownloader.Carberp.AH. Dopiero ten element pobiera docelowy kod, którego dostarczenie stanowi ostatni element ataku.
Jak widać, cały proces infekcji jest precyzyjnie zaplanowany, wspierany przez pieczołowicie przygotowane narzędzia i robi, co może, by utrudnić przeciwdziałanie programów i firm antywirusowych. Można na tym przykładzie dobrze zobaczyć, jak zarażanie komputerów internautów i kradzież przechowywanych w nich danych oraz wykorzystanie przejętych komputerów do innych przestępczych celów stało się w ostatnich latach dużym, dobrze zorganizowanym przemysłem.
