Эксперты из компании Avast обнаружили необычный способ распространения троянов на зараженных сайтах. Принцип распространения вполне традиционен. При попытке зайти на ресурс smcitizens.com, пользователь получал целый набор эксплойтов.
В результате исследования было установлено, что на сайте размещена связка, которая отправляет пользователей на внешние сайты. Среди прочих были размещены достаточно популярные наборы эксплойтов Black hole exploit kit и Crimepack. Эксплойты, собранные в последнем архиве направлены на уязвимости в платформе Java и незаметно загружают на компьютер жертвы Java, PDF и flesh файлы, содержащие нежелательный контент.
Данная атака ничем не отличалась бы от подобных, если бы не специфика кода, размещенного на ресурсе. Дело в том, что при попытке посещения, исследователи увидели единственное сообщение «GOTCHA!».
Вирусмейкеры используют базу IP адресов и если IP посетителя совпадает с имеющимся в базе, то в ответом на его запрос будет «GOTCHA!». Это позволяет скрывать код от антивирусных аналитиков или любопытных пользователей, пытающихся узнать их методы заражения.{jcomments on}
Больше статей
Уязвимость BleedingPipe в модах для Minecraft может привести к запуску вредоносных команд на серверах и клиентах
Специалисты из Akamai выявили существование нового ботнета Dark Frost
Cisco предупреждает: ПК-пользователи без защиты от хакеров с ChatGP