Websence предупреждает об опасной интернет-атаке LizaMoon

Саныч

Ветеран
Сообщения
860
Симпатии
1,096
Баллы
553
#1
Мониторинговая компания Websence накануне предупредила об обнаружении масштабной SQL-атаки, в результате которой были заражены более 28 000 интернет-сайтов. Атака получила название LizaMoon, так как впервые была обнаружена на сайте lizamoon.com. Суть атаки достаточно проста: в коде сайта размещается всего одна строка - гиперссылка на известный сайт defender-uqko.in, распространяющий поддельные антивирусы.

На данный момент как атакующий домен, так как целевой сайт находятся в оффлайне, но Websence утверждает, что положение вещей может измениться в любой момент, после чего интернет-злоумышленники, скорее всего, начнут собирать новых жертв.

Сам домен и сайт Lizamoon.com начал работать трое суток назад, используя поддельные данные и недостоверную информацию. В Websence также говорят, что ее специалисты обнаружили некоторую часть кода в URL iTunes, однако политики безопасности Apple предотвращают подобный тип атак.

"Способ, при помощи которого работает iTunes, заключается в скачивании RSS/XML-потоков от издателей и наблюдения за обновлениями в этих потоках. Мы полагаем, что некоторые из этих новостных потоков были инфицированы в рамках данной атаки", - сообщили в Websence. "Хорошая новость заключается в том, что iTunes зашифровывает скриптовые тэги, что не позволяет им исполняться на компьютере пользователя".



источник
 

Mila

Основатель
Сообщения
4,947
Симпатии
10,468
Баллы
953
#2
Websence сообщает о значительном ускорении в распространении атаки LizaMoon

ИТ-компания Websence сегодня выпустила обновленное предупреждение о массовой хакерской атаке типа SQL-инъекции, получившей название LizaMoon. Сегодня в Websence сообщили, что атака затронула не 28 000 сайтов, как сообщалось накануне, а уже 380 000 сайтов. В компании отмечают, что учитывая 10-кратный рост числа заражений, можно говорить о масштабной эпидемии.

Суть атаки достаточно проста: в коде сайта размещается всего одна строка - гиперссылка на известный сайт defender-uqko.in, распространяющий поддельные антивирусы.

На данный момент как атакующий домен, так и целевой сайт находятся в оффлайне, но Websence утверждает, что положение вещей может измениться в любой момент, после чего интернет-злоумышленники, скорее всего, начнут собирать новых жертв.

Сам домен и сайт Lizamoon.com начал работать трое суток назад, используя поддельные данные и недостоверную информацию. В Websence также говорят, что ее специалисты обнаружили некоторую часть кода в URL iTunes, однако политики безопасности Apple предотвращают подобный тип атак.

"Способ, при помощи которого работает iTunes, заключается в скачивании RSS/XML-потоков от издателей и наблюдения за обновлениями в этих потоках. Мы полагаем, что некоторые из этих новостных потоков были инфицированы в рамках данной атаки", - сообщили в Websence. "Хорошая новость заключается в том, что iTunes зашифровывает скриптовые тэги, что не позволяет им исполняться на компьютере пользователя".



источник
 

Mila

Основатель
Сообщения
4,947
Симпатии
10,468
Баллы
953
#3
Атака с использованием SQL-инъекции набирает обороты – уже 694 000 атакованных сайтов

Сотни тысяч URL были атакованы (на момент написания данной новости их было уже 694 000) посредством SQL-инъекции. В ходе атаки в базах данных был изменен текст, и в результате на поврежденных страницах хакеры разместили от одной до нескольких ссылок на определенный файл JavaScript.

Похоже, что атака не была нацелена на какие-то конкретные серверы, так как ей подверглись ресурсы, работающие на ASP, ASP.NET, ColdFusion, JSP и PHP, и нет сомнения, что это еще не полный список. Атаки с внедрением SQL-кода использует плохо написанные Web-приложения, которые напрямую пишут данные в базы данных. По сути, SQL-инъекция не зависит от языка написания приложений: ошибки в программировании позволяют SQL-инъекции использовать практически любой язык программирования.

В данном случае SQL-инъекция корректирует текстовые поля внутри базы данных, добавляя к ним фрагмент HTML, который, в свою очередь, загружает JavaScript с удаленного сервера, обычно с http://lizamoon.com/ur.php, а в последнее время и с http://alisa-carter.com/ur.php. Оба домена относятся к одному и тому же IP, и на данное время этот сервер не функционирует, что означает, что при переходе по данным ссылкам браузеры не могут загрузить вредоносные скрипты. Использованный ранее скрипт перенаправлял пользователей на сайт с поддельным анти-вирусом.

Огромный масштаб атаки (и быстрый рост вновь зараженных URL) был впервые замечен Websense Security Labs. Во вторник около 28 000 сайтов подверглись атаке, сейчас их число увеличилось уже в 20 раз, и на данный момент оно продолжает расти.

Внедренный код также был обнаружен на страницах Apple iTunes. Apple собирает RSS ленты от подкастеров, вещающих через iTunes. И во многих случаях атакам подверглись именно эти подкастеры. В результате вредоносный код затронул систему Apple; тем не менее, благодаря тому, как Apple обрабатывает ленты RSS, код не распространяется далее, вставленный фрагмент HTML просто не работает.

Внедрение SQL-кода по данному принципу периодически происходит уже полгода. Название домена, содержащего JavaScript, каждый раз меняется, но название файла с окончанием на - ur.php и сам стиль внедрения остаются неизменными. Действия скриптов также однообразны – всплывающие окна и загрузка вредоносного ПО. Предыдущие атаки, правда, были в разы скромнее – сотни URL вместо нынешних сотен тысяч. Первые атаки происходили с IP, расположенных в Восточной Европе и России.



источник
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,389
Симпатии
8,729
Баллы
743
#4
"Антивирусная эпидемия" заразила более двух миллионов сайтов

Маскирующаяся под антивирусное ПО вредоносная программа, заразила около двух миллионов сайтов в Интернете и продолжает распространяться.

Об этом сообщила аналитическая компания в области веб-безопасности Websense Security.

По данным специалистов, этим вирусом были заражены несколько страниц одного из крупнейших онлайновых музыкальных магазинов — Apple iTunes. Хакерской атаке, возникшей 29 марта, работники Websense присвоили имя LizaMoon поскольку впервые она возникла на специально созданном одноименном сайте. Вредоносный скрипт внедряется в код сайта, используя уязвимости, и в результате перенаправляет пользователя на поддельный антивирусный сайт defender-uqko.in, предлагающий скачать антивирус, который на самом деле таковым не является.

Сообщается, что более половины зараженных сайтов зарегистрированы в США. Также от LizaMoon пострадали сайты в Великобритании, Кувейте, Индии, Австралии, Турции, Бразилии, Израиле, Мексике, Тайване и Чили.

Источник
 
Сверху Снизу