Неизвестные вновь разметили вредоносный код на сайте писателя Алексея Экслера

27 января 2012 года

Неизвестные хакеры атаковали сайт писателя Алексея Экслера - в пятницу через один из рекламных скриптов, размещенных на сайте, посетителям ресурса автоматически загружался опасный вирус Carberp, о чем стало известно корреспонденту в ходе попытки посетить сайт.

Предыдущая аналогичная атака была зафиксирована на exler.ru 16 января.

Троянская программа Carberp используется хакерами в том числе для похищения денежных средств из систем дистанционного банковского обслуживания. Владелец атакованного сайта признал наличие проблемы, но сообщил о том, что она была устранена в пятницу примерно в 13.30 мск.

"Проблема уже исправлена. Связана она с рекламным скриптом, в который пробирался вирус. Мы пытались решить эту проблему, но этот рекламный скрипт в любом случае является серьезной потенциальной дырой в защите сайта, поэтому мы вообще отказались от его использования. Надеюсь, больше подобного не повторится, приношу всем свои извинения", - написал Экслер в электронном письме в ответ на запрос о комментарии.

Рекламные скрипты - это специальные программные модули для показа рекламных сообщений. Владелец сайта может разместить его у себя на ресурсе, однако не имеет возможности контролировать его содержимое. Этим пользуются злоумышленники, встраивая в рекламные объявления вредоносный код, который исполняется автоматически, как только браузер загружает скомпрометированный хакерами элемент страницы.

Как рассказал директор Центра вирусных исследований и аналитики Eset Александр Матросов, киберпреступники активно используют уязвимости на легальных веб-ресурсах для распространения Carberp. Через уязвимость в самом сайте или рекламной системе, которая на нем присутствует, они устанавливают средства для перенаправления пользователей на страницу с вредоносным ПО.

По словам Матросова, ранее таким же образом злоумышленники использовали для распространения вредоносного ПО и ряд других российских сайтов. Однако назвать их Матросов отказался, сославшись на внутренние правила Eset о разглашении информации.

В декабре 2011 года Eset сообщила о появлении модификации Carberp, предназначенной специально для похищения денежных средств со счетов компаний в системах дистанционного банковского обслуживания многих российских банков. В частности, специалисты компании обнаружили варианты программы, ориентированные на поиск и похищение средств из системы ДБО Сбербанка и платежной системы CyberPlat.

Попав в компьютер, такой троянец сканирует его на наличие клиентского приложения для доступа к счетам, открытым в Сбербанке или CyberPlat, после чего скачивает из сети вредоносный плагин, с помощью которого осуществляется доступ к учетной записи жертвы.

В обновленных данных о Carberp, предоставленных компанией Eset в пятницу, содержится информация о специальных плагинах для систем дистанционного банковского обслуживания "Альфа Банка", банка "Авангард", систем электронных платежей Moneymail, Webmoney, Rbkmoney и ряда других систем, с помощью которых пользователи могут осуществлять финансовые операции.

"Cтоит своевременно обновлять программное обеспечение, установленное у вас на компьютере. Ведь злоумышленники используют для своих атак далеко не новые уязвимости ПО. По статистике активности Carberp можно увидеть, что далеко не все пользователи прислушиваются к этому совету", - сказал Матросов.

Хотя пик активности данного ПО пришелся на конец прошлого года (в декабре около 90% от общего количества инцидентов с участием Carberp в разных странах приходилось на Россию), количество заражений все еще велико. По данным Eset, за две недели января количество "российских" заражений достигло 50%. Абсолютное количество инцидентов в компании, впрочем, не раскрывают.

Впервые о массовом распространении троянца Carberp стало известно в конце ноября. По данным специалистов Eset, в тот период еженедельно с помощью данного троянца из систем ДБО крупнейших российских банков похищались миллионы долларов.