Доктор Веб: Количество взломанных сайтов заметно возросло

Картинка: 

В последнее время участились случаи взлома сайтов с целью перенаправления пользователей мобильных устройств на ресурсы, распространяющие вредоносное ПО.

Российский разработчик средств информационной безопасности «Доктор Веб» сообщил об участившихся случаях взлома web-сайтов с целью перенаправления пользователей мобильных устройств на ресурсы, распространяющие вредоносное ПО. По данным специалистов компании, подобные атаки наблюдались и раньше, но в последнее время их количество заметно увеличилось. На данный момент в Рунете одновременно работает около 100 взломанных сайтов.

Пользователи смартфонов и планшетов, работающих на основе ОС Android и других платформ с поддержкой Java, в последнее время были лишены возможности посещения некоторых сайтов. При открытии страницы пользователи автоматически перенаправлялись на интернет-ресурс, схожий по оформлению с официальным web-сайтом Opera Mini, на котором пользователю предлагалось загрузить обновление браузера. Такое обновление чаще всего скрывает в себе троянский вирус Android.SmsSend. В данной ситуации антивирусное ПО не может предотвратить перенаправление пользователя на мошеннические сайты, поскольку этот процесс осуществляется самим web-сайтом, к которому обращается пользователь.

Злоумышленники получают доступ к сайтам, используя уязвимости «движков» форумов и систем управления контентом (CMS), и подменяют хранящийся на сервере файл .htaccess. В результате, сервер проверяет user-agent каждого пользователя, вошедшего на взломанный интернет-ресурс. Если клиентский браузер работает на мобильной платформе с поддержкой Java (в том числе Symbian и Android), происходит переадресация на принадлежащий злоумышленникам сайт.

Владельцы сайтов сообщают о многократных случаях взлома. Несмотря на то, что им удается быстро удалить вредоносные объекты, через некоторое время ресурс опять оказывается под контролем злоумышленников.

Эксперты «Доктор Веб» предполагают, что взломщики действуют сообща с владельцами партнерских программ, которые распространяют Android.SmsSend под видом поддельных обновлений для Opera Mini. В таком случае предполагается, что действуют две независимые группы злоумышленников, одна специализируется на взломе сайтов, вторая – на распространении вредоносного ПО.

Эксперты компании рекомендуют владельцам и администраторам сайтов вовремя обновлять программное обеспечение и устанавливать все необходимые обновления безопасности, а также проверять файлы .htaccess на наличие «посторонних» директив.

securitylab.ru