Похоже, что начало 2013 года останется у нас в памяти как период времени, на который пришлось большое количество атак, связанных с компрометацией веб-ресурсов крупных изданий. На сей раз речь идет об nbc.com, веб-ресурсе, который является официальным веб-сайтом американской компании NBC. Напомним, что о компрометации своих электронных изданий заявили ранее такие авторитетные издания как The Wall Street Journal, NY Times, Washington Post. Правда в этих случаях, согласно официальным заявлениям, речь шла не про «watering hole», а про компрометацию внутренних сетей компаний и их серверов для получения конфиденциальной информации.
Сегодня мы хотим рассказать об атаке на nbc.com.
С помощью ESET Live Grid мы зафиксировали первые признаки заражения веб-сайта 20 Февраля, примерно в 17.00 (центральноевропейское время). После этого, до полудня 21-го, мы наблюдали длительный перерыв активности. В связи с этим, не совсем понятно был ли сайт заражен в течении всего этого времени или нет. Возможно, на определенное время веб-страницы были заражены вредоносным содержимым, но ссылки, которые были в этом коде, указывали на несуществующее месторасположение (в этом случае наши отслеживающие системы не могли зафиксировать вредоносный контент).
Атаки на веб-сайт имели целью внедрение вредоносного iframe, который осуществлял перенаправление посетителей страницы на страницу набора эксплойтов. В данном случае, злоумышленники использовали набор эксплойтов RedKit.
Рис. Внедренный iframe.
Мы зафиксировали несколько различных веб-сайтов, которые были скомпрометированы этим iframe. В процессе расследования, ESET постоянно обновляла список таких вредоносных веб-страниц.
В ходе этой атаки, т. е. пока веб-сайт был скомпрометирован, антивирусные продукты ESET блокировали к нему доступ. Когда контроль над сайтом был восстановлен и вредоносное содержимое было удалено, мы разблокировали доступ к сайту. Стоит отметить, что доступ к нему был также заблокирован Google и Facebook (Facebook не разрешал публиковать записи на стене, которые содержали ссылку на сайт).
Несколько других сайтов все еще заражены и пользователи подвергают себя риску посещая их. Они будут оставаться заблокированными до тех пор, пока не будут очищены от вредоносного содержимого. При попытке пользователя посетить скомпрометированный ресурс, который был внесен в список заблокированных, ESET Smart Security показывает следующее сообщение.
В данном случае, ESET предупреждает пользователя о том, что веб-страница содержит вредоносное содержимое, которое указывает на страницу набора экслойтов RedKit.
Рис. Страница набора эксплойтов.
Эксплойт пытается загрузить несколько файлов на зараженную машину. Не удивительно, что эти файлы вредоносного происхождения. Один из загружаемых файлов представляет из себя загрузчик (downloader), который мы определяем как Win32/TrojanDownloader.Vespula.AY, другой вредоносный объект определяется как Trojan.JS/Exploit.Agent.NCX.
Автор: esetnod32