Pred štyrmi dňami sme vás informovali o XSS útoku, vďaka ktorému bolo infikovaných viac ako 10,000 webov, ktoré následne distribuovali malware. Dancho Danchev a výskumníci zo spoločnosti McAfee už nejaký čas informujú o podobnom útoku, ktorý postihol viac ako 200,000 webov.

Tieto útoky sú si hodne podobné. Využívajú zraniteľnosť XSS, teda script injection. Najčastejšie persistant verzia XSS, alebo priamo SQL Injection, ktorá zaručí zobrazovanie škodlivého kódu aj bez dávky sociálneho inžinierstva. Najviac postihnuté systémy sú fóra založené na phpBB v akejkoľvek verzii. Zdá sa, že útok súvisí s predajom privátneho exploitu hackera S@BUN-a za $15,000 na čiernom trhu, ktorý sa uskutočnil pred niekoľkými týždňami.

Markantný rozdiel je však pri pokuse infikovať obeť. Pri prvom útoku sa škodlivý kód snažil dostať cez objavené (a už aj “zaplátané”) zraniteľnosti do počítača obete, pokým tento útok sa spolieha výlučne na sociálne inžinierstvo. Keď obeť navštívi stránku, ktorá obsahuje škodlivý kód, tá sa ho pokúsi presvedčiť, aby si stiahol video codec, ktorý potrebuje na prehranie videa nachádzajúceho sa na stránke. Ak sa užívateľ pokúsi codec nainštalovať, zobrazí sa chybová hláška, ktorá informuje o neúspechu inštalácie. Tá však prebehla úspešne a do počítača sa dostane trojan-downloader, ktorý aktívne začne sťahovať trojany. Spolu s trojan-downloaderom sa pridá lišta do prehliadača (pravdepodobne len IE), ktorá sa tvári ako ochrana pred malwarom. Tá potom upravuje stránky a navádza užívateľa, aby prechádzal na stránky s pornografickou tématikou.

Demonštračnú ukážku si môžete pozrieť vo videu zobrazenom nižšie. Ak vás táto téma zaujíma, odporúčam prečítať si blog Dancha Dancheva, ktorý sa celej problematike venuje od začiatku.