«Лаборатория Касперского» раскрыла факт заражения сайтов сразу нескольких крупных российских средств массовой информации, включая «Интерфакс», «Вести», «Газета.ру» и «Взгляд». Об этом сообщил в своем блоге эксперт компании Вячеслав Закоржевский, добавив, что вредоносный код на этих сайтах был обнаружен в конце октября 2012 г.
При этом злоумышленники, по всей видимости, готовились к атаке на крупные российские ресурсы - специалисты «Лаборатории Касперского» начали фиксировать случаи заражения крупных сайтов разных тематик с июня 2012 г., причем заражения происходили редко и бессистемно.
На всех сайтах устанавливался фрейм, который вел на страницу с эксплойтами. Сайты были заражены по-разному: где-то вредоносный фрейм, перенаправляющий на домен с эксплойтами, был вписан вручную в код страницы, а где-то в код рекламного блока, размещенного на сайте. После перехода на страницу с эксплойтами в систему пользователя загружался бот Lurk.
На вредоносные домены каждые сутки переходило около 1,5 тыс. уникальных пользователей. Столь небольшое число потенциальных жертв обусловлено тем, что злоумышленники добавляли вредоносный код на сайты на короткие промежутки времени - от 30 до 90 минут, - в обеденные часы.
Кроме того, злоумышленники могли пропускать на страницы с эксплойтами не всех пользователей. Скорее всего, это делалось для того, чтобы заражения подольше оставались незамеченными как для веб-мастеров, так и для антивирусных компаний, предполагают в «Лаборатории Касперского».
«Как и любой бот, Lurk подключается к командному центру и ждет дальнейших указаний. В ходе нашего исследования Lurk установил на зараженные машины плагин, ворующий пароли от FTP-серверов. Плагин крадет конфигурационные файлы программ, работающих с FTP-серверами. Если пользователь сохраняет пароль в таком ПО, то его можно отыскать в соответствующем файле», - рассказал Закоржевский.
В список программ, из которых Lurk ворует сохраненные пользователями пароли, вошли: FAR, Opera, Internet Explorer, Firefox, SmartFTP, Total Commander, FileZilla и FlashFXP.
«Мы проинформировали о заражении администраторов пострадавших веб-ресурсов, которые уже приняли соответствующие меры», - добавил представитель ЛК.
Ранее в 2012 г., в марте, специалисты «Лаборатории Касперского» уже сообщали о боте Lurk, который атаковал посетителей новостных ресурсов «РИА Новости» и «Газета.ру». При этом, как выяснилось, за несколько месяцев он заразил свыше 300 тыс. персональных компьютеров.
