163
Большинство атак подобного типа полагаются на скрытые ifame, размещаемые внутри нормального кода, но скомпрометированные сайты переводят посетителей на атакующие ресурсы. Новая же атака фактически не использует никаких подозрительных включений, которые бы могли вызвать включение антивирусного сканера. Вместо этого, вредоносный код JavaScript подгружается из другого JS-файла, расположенного удаленно, однако подгрузка происходит только во время движения курсора мыши, передает cybersecurity.
Подобным образом злоумышленники, судя по всему, пытаются отсеять реальных жертв (людей) от автоматизированных кодов, сканирующих веб-сайты на наличие вредоносов, что позволит продлить срок жизни данной атаки. В Eset называют найденную атаку дальнейшим развитием атак drive-by, предусматривающих прямую инъекцию кода. Так как тут используется более продвинутый алгоритм, то обнаружить реальный вредоносный код значительно сложнее.
В случае, если система детектирует, что на сайте присутствует реальный человек, то производится инсталляция кода, ранее присутствовавшего в наборе эксплоитов Nuclear Pack. В самом Nuclear Pack большая часть кодов эксплуатирует уязвимости в Java, Adobe Reader или Flash Player. В случае последней атаки, злоумышленники используют нашумевшую Java-уязвимость CVE-2012-0507, устраненную для Windows еще в феврале, а для Mac - на прошлой неделе.
Более подробная информация доступна по адресу http://blog.eset.com/2012/04/05/blackhole-exploit-kit-plays-with-smart-redirection
Источник: http://www.cybersecurity.ru
Интернет-портал «Безопасность пользователей в сети Интернет»
admin@safe-surf.ru
https://safe-surf.ru
