Эксперты "Лаборатории Касперского" обнаружили интересную атаку, в ходе которой злоумышленники использовали вредоносную программу, способную функционировать без создания файлов на зараженной системе. Для распространения вредоносного кода была задействована тизерная сеть, включающая в себя ряд популярных российских новостных ресурсов.

Источники заражения

Для анализа  експерты "Лаборатории Касперского"  выбрали два информационных ресурса, с которых, как нам было известно, распространялась вредоносная программа — сайт одного из крупнейших в России информационных агентств РИА Новости www.ria.ru и сайт известной онлайн-газеты www.gazeta.ru. Регулярное сохранение содержимого данных ресурсов не выявило на них периодически появляющихся сторонних JS скриптов, тегов «iframe», ошибок 302 или любых других формальных признаков взлома. Объединяло эти сайты лишь то, что на обоих ресурсах использовались коды системы управления рекламой AdFox, через которую был организован обмен тизерами-новостными анонсами.

Удалось выяснить, что вредоносный код загружается именно через тизеры сети, организованной при помощи технологий AdFox.ru.Как же происходило заражение? Вместе с одним из тизеров в JS скрипте на сайте загружался iframe, перенаправляющий пользователя на вредоносный сайт с Java эксплойтом, находящийся в зоне .EU.Анализ JAR файла эксплойта показал, что он эксплуатирует уязвимость в Java (CVE-2011-3544). Данная уязвимость с ноября используется злоумышленниками для атаки и на пользователей MacOS, и на пользователей Windows. В настоящее время эксплойты для этой уязвимости являются, пожалуй, самыми эффективными и входят в состав распространенных эксплойт-паков.

Однако, использованный эксплойт был уникальным и не встречался ранее ни в одном эксплойт-паке: злоумышленники использовали собственную полезную нагрузку для атаки.

Данная атака является уникальной, поскольку злоумышленники использовали собственный загрузчик PE файлов (полезная нагрузка), способный функционировать без создания вредоносных файлов на зараженной системе, работая только в рамках доверенного процесса Java.

Использование злоумышленниками тизерной сети является одним из самых эффективных способов установки вредоносного кода ввиду наличия на него ссылок с большого количества популярных ресурсов.

Данная атака была нацелена на российских пользователей. Однако мы не исключаем, что тот же эксплойт и тот же «бестелесный» бот могут быть использованы и против жителей других стран — распространяться они могут при помощи аналогичных зарубежных баннерных или тизерных сетей. При этом вероятно использование других вредоносных программ, а не только Trojan-Spy.Win32.Lurk.

В качестве мер защиты от данной угрозы мы настоятельно рекомендуем всем пользователям установить патч, исправляющий уязвимость CVE-2011-3544 в Java. В настоящий момент это единственный гарантированный способ избежать заражения. Как мы уже отметили выше, эксплойты для CVE-2011-3544 являются самыми эффективными, и с их помощью происходит установка множества вредоносных программ.

Кроме того, необходимо постоянно использовать защитное решение с веб-антивирусом. Пользователям продуктов ЛК мы также рекомендуем включить функцию Geo Filter, позволяющую вручную регулировать доступ браузера к ресурсам в различных доменных зонах, и заблокировать соединения с сайтами в зоне .eu, если доступ к ним не является необходимым.

Сергей Голованов
Эксперт «Лаборатории Касперского»
опубликовано 16 мар 2012, 13:15 MSK
Сюжеты: Уязвимости и эксплойты