Według danych ze ScanSafe przejęte witryny zostały zhakowane przy użyciu wykradzionych haseł. Serwery zainfekowano parą plików, które generują nieustannie zmieniający się kod JavaScript. Gdy użytkownik odwiedzi przejętą witrynę, zostaje zaatakowany kodem wykorzystującym między innymi podatności w QuickTimie i Yahoo! Messengerze czy nawet starą i lubianą przez hakerów dziurę w Windows MDAC. Łącznie wykorzystywanych jest 9 podatności systemu i oprogramowania; jeśli PC użytkownika nie został przed nimi zabezpieczony, zostaje zarażony trojanem Rbot i dodany do jego botneta.

Specjaliści ze ScanSafe nie wiedzą, jak został przygotowany atak na serwery, ale wszystkie dowody wskazują na wykradzenie danych logowania. Serwery oczyszczone z infekcji, na których nawet przeinstalowano „na czysto” system operacyjny, szybko zostały ponownie zarażone. Nie było śladu siłowego ataku na system haseł przed infekcją, dlatego podejrzewa się, że hasła mogły zostać przekazane przez osobę trzecią.

Don Jackson z SecureWorks podkreślił, że atak był wymierzony w dynamiczne ładowanie modułów, podatność serwera Apache, która nie jest za dobrze znana administratorom. To sprawia, że większość z nich ma problemy z oczyszczeniem swych witryn. Jackson ostrzegł, że konieczna jest zmiana WSZYSTKICH haseł na zarażonych serwerach, nie tylko tych, które używano do Cpanelu i FTP.

Badacze z SecureWorks podejrzewają, że atak został przeprowadzony przez ludzi z Ameryki Północnej lub Europy Zachodniej. Kod użyty w ataku nie ma bowiem żadnych komentarzy po rosyjsku czy mandaryńsku, jak to bywa w przypadku ataków rosyjskich czy chińskich cyberprzestępców. Wszystkie komentarze są zapisane po angielsku, a niemal cały hakerski biznes w Europie używa angielskiego.

Użytkownicy mogą się zabezpieczyć, instalując w swych systemach wszystkie aktualizacje bezpieczeństwa. Administratorzy serwerów WWW powinni zaś wyłączyć dynamiczne ładowanie w konfiguracji modułów Apache.

źródło: computerworld