Для розповсюдження троянів зламали більше 2000 сайтів

Почастішали випадки злому веб-сайтів, відвідувачі яких перенаправляються на інтернет-ресурси, що поширюють шкідливе пз. В даний час можна говорити про кількох тисячах випадків зламування. Число піддалися атаці сайтів продовжує інтенсивно рости.

За останні кілька днів фахівці компанії «Доктор Веб» зафіксували понад 2000 випадків зламування зловмисниками веб-сайтів з метою розповсюдження шкідливого пз. Серед піддалися атаці ресурсів помічені досить популярні і відвідувані портали.

Отримавши несанкціонований доступ до інтернет-ресурсів, зловмисники модифікують що працюють на сервері сценарії, в результаті чого при відкритті веб сторінки виконується перевірка user-agent користувача. Якщо відвідувач заходить на такий сайт зі свого смартфону або планшетного пк (тобто його браузер працює на мобільній платформі), він перенаправляється на спеціально створений інтернет-ресурс. Більшість таких сайтів поширюють шкідливе програмне забезпечення, зокрема, Android.SmsSend.690.origin і Android.SmsSend.122.origin.

Троянські програми сімейства Android.SmsSend являють собою програми, в процесі установки вимагають відправити платне СМС-повідомлення або ввести у відповідну форму код, отриманий у вхідному повідомленні, тим самим підписавшись на послугу за надання якої з рахунку мобільного оператора періодично списується деяка сума без відома користувача.

Аналітики компанії «Доктор Веб» припускають, що несанкціонований доступ до сайтів може здійснюватися в результаті крадіжки логіна і пароля у адміністраторів сайтів (можливо, з застосуванням троянських програм). Зокрема, паролі від FTP-клієнтів можуть бути вкрадені за допомогою великої кількості різних шкідливих додатків.

В даний час в Рунеті зафіксовано понад 2000 випадків зламування веб-сайтів з метою поширення троянців сімейства Android.SmsSend. Крім того, фахівці компанії «Доктор Веб» відзначають інтенсивне зростання кількості ресурсів, що піддалися атаці. Також було виявлено близько 250 інфікованих сайтів в українському національному домені .UA, серед яких були в тому числі ресурси урядових організацій. Розповсюдження шкідливого пз здійснюється за підтримки партнерської програми Wapostap, раніше вже неодноразово поміченою в подібних інцидентів.

Адміністраторам і веб-дизайнерам, які займаються розробкою, підтримкою та оновленням сайтів, настійно рекомендується перевірити завантажені на сервер сценарії (зокрема файл .htaccess) і в разі необхідності поміняти логін і пароль для адміністративного доступу до інтернет-ресурсу. Також компанія «Доктор Веб» в черговий раз нагадує про необхідність використання сучасного антивірусного пз і підтримки вірусних баз в актуальному стані.