Websence предупреждает об опасной интернет-атаке LizaMoon

Тема в разделе "Новости информационной безопасности", создана пользователем Саныч, 30 мар 2011.

  1. Саныч
    Оффлайн

    Саныч Активный пользователь

    Сообщения:
    869
    Симпатии:
    1.697
    Мониторинговая компания Websence накануне предупредила об обнаружении масштабной SQL-атаки, в результате которой были заражены более 28 000 интернет-сайтов. Атака получила название LizaMoon, так как впервые была обнаружена на сайте lizamoon.com. Суть атаки достаточно проста: в коде сайта размещается всего одна строка - гиперссылка на известный сайт defender-uqko.in, распространяющий поддельные антивирусы.

    На данный момент как атакующий домен, так как целевой сайт находятся в оффлайне, но Websence утверждает, что положение вещей может измениться в любой момент, после чего интернет-злоумышленники, скорее всего, начнут собирать новых жертв.

    Сам домен и сайт Lizamoon.com начал работать трое суток назад, используя поддельные данные и недостоверную информацию. В Websence также говорят, что ее специалисты обнаружили некоторую часть кода в URL iTunes, однако политики безопасности Apple предотвращают подобный тип атак.

    "Способ, при помощи которого работает iTunes, заключается в скачивании RSS/XML-потоков от издателей и наблюдения за обновлениями в этих потоках. Мы полагаем, что некоторые из этих новостных потоков были инфицированы в рамках данной атаки", - сообщили в Websence. "Хорошая новость заключается в том, что iTunes зашифровывает скриптовые тэги, что не позволяет им исполняться на компьютере пользователя".



    источник
     
    1 человеку нравится это.
  2. Mila
    Оффлайн

    Mila Команда форума Основатель

    Сообщения:
    4.970
    Симпатии:
    13.601
    Websence сообщает о значительном ускорении в распространении атаки LizaMoon

    ИТ-компания Websence сегодня выпустила обновленное предупреждение о массовой хакерской атаке типа SQL-инъекции, получившей название LizaMoon. Сегодня в Websence сообщили, что атака затронула не 28 000 сайтов, как сообщалось накануне, а уже 380 000 сайтов. В компании отмечают, что учитывая 10-кратный рост числа заражений, можно говорить о масштабной эпидемии.

    Суть атаки достаточно проста: в коде сайта размещается всего одна строка - гиперссылка на известный сайт defender-uqko.in, распространяющий поддельные антивирусы.

    На данный момент как атакующий домен, так и целевой сайт находятся в оффлайне, но Websence утверждает, что положение вещей может измениться в любой момент, после чего интернет-злоумышленники, скорее всего, начнут собирать новых жертв.

    Сам домен и сайт Lizamoon.com начал работать трое суток назад, используя поддельные данные и недостоверную информацию. В Websence также говорят, что ее специалисты обнаружили некоторую часть кода в URL iTunes, однако политики безопасности Apple предотвращают подобный тип атак.

    "Способ, при помощи которого работает iTunes, заключается в скачивании RSS/XML-потоков от издателей и наблюдения за обновлениями в этих потоках. Мы полагаем, что некоторые из этих новостных потоков были инфицированы в рамках данной атаки", - сообщили в Websence. "Хорошая новость заключается в том, что iTunes зашифровывает скриптовые тэги, что не позволяет им исполняться на компьютере пользователя".



    источник
     
    1 человеку нравится это.
  3. Mila
    Оффлайн

    Mila Команда форума Основатель

    Сообщения:
    4.970
    Симпатии:
    13.601
    Атака с использованием SQL-инъекции набирает обороты – уже 694 000 атакованных сайтов

    Сотни тысяч URL были атакованы (на момент написания данной новости их было уже 694 000) посредством SQL-инъекции. В ходе атаки в базах данных был изменен текст, и в результате на поврежденных страницах хакеры разместили от одной до нескольких ссылок на определенный файл JavaScript.

    Похоже, что атака не была нацелена на какие-то конкретные серверы, так как ей подверглись ресурсы, работающие на ASP, ASP.NET, ColdFusion, JSP и PHP, и нет сомнения, что это еще не полный список. Атаки с внедрением SQL-кода использует плохо написанные Web-приложения, которые напрямую пишут данные в базы данных. По сути, SQL-инъекция не зависит от языка написания приложений: ошибки в программировании позволяют SQL-инъекции использовать практически любой язык программирования.

    В данном случае SQL-инъекция корректирует текстовые поля внутри базы данных, добавляя к ним фрагмент HTML, который, в свою очередь, загружает JavaScript с удаленного сервера, обычно с http://lizamoon.com/ur.php, а в последнее время и с http://alisa-carter.com/ur.php. Оба домена относятся к одному и тому же IP, и на данное время этот сервер не функционирует, что означает, что при переходе по данным ссылкам браузеры не могут загрузить вредоносные скрипты. Использованный ранее скрипт перенаправлял пользователей на сайт с поддельным анти-вирусом.

    Огромный масштаб атаки (и быстрый рост вновь зараженных URL) был впервые замечен Websense Security Labs. Во вторник около 28 000 сайтов подверглись атаке, сейчас их число увеличилось уже в 20 раз, и на данный момент оно продолжает расти.

    Внедренный код также был обнаружен на страницах Apple iTunes. Apple собирает RSS ленты от подкастеров, вещающих через iTunes. И во многих случаях атакам подверглись именно эти подкастеры. В результате вредоносный код затронул систему Apple; тем не менее, благодаря тому, как Apple обрабатывает ленты RSS, код не распространяется далее, вставленный фрагмент HTML просто не работает.

    Внедрение SQL-кода по данному принципу периодически происходит уже полгода. Название домена, содержащего JavaScript, каждый раз меняется, но название файла с окончанием на - ur.php и сам стиль внедрения остаются неизменными. Действия скриптов также однообразны – всплывающие окна и загрузка вредоносного ПО. Предыдущие атаки, правда, были в разы скромнее – сотни URL вместо нынешних сотен тысяч. Первые атаки происходили с IP, расположенных в Восточной Европе и России.



    источник
     
    1 человеку нравится это.
  4. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.840
    Симпатии:
    8.594
    "Антивирусная эпидемия" заразила более двух миллионов сайтов

    Маскирующаяся под антивирусное ПО вредоносная программа, заразила около двух миллионов сайтов в Интернете и продолжает распространяться.

    Об этом сообщила аналитическая компания в области веб-безопасности Websense Security.

    По данным специалистов, этим вирусом были заражены несколько страниц одного из крупнейших онлайновых музыкальных магазинов — Apple iTunes. Хакерской атаке, возникшей 29 марта, работники Websense присвоили имя LizaMoon поскольку впервые она возникла на специально созданном одноименном сайте. Вредоносный скрипт внедряется в код сайта, используя уязвимости, и в результате перенаправляет пользователя на поддельный антивирусный сайт defender-uqko.in, предлагающий скачать антивирус, который на самом деле таковым не является.

    Сообщается, что более половины зараженных сайтов зарегистрированы в США. Также от LizaMoon пострадали сайты в Великобритании, Кувейте, Индии, Австралии, Турции, Бразилии, Израиле, Мексике, Тайване и Чили.

    Источник
     
    1 человеку нравится это.

Поделиться этой страницей