Strona z najgorętszymi newsami pojawiającymi się w internecie została wykorzystana do przeprowadzenia unikatowego ataku na internautów. Cyberprzestępcy wykorzystali złośliwy kod działający w systemie bez tworzenia plików w zainfekowanym w systemie.

Eksperci z Karpersky Lab wykryli atak wykorzystujący lukę w systemach stosowanych przez popularne strony internetowe w Rosji i ostrzegają, że niedługo ofiarami ataku mogą stać się internauci z całego świata.

Przeprowadzone dochodzenie przez ekspertów wykazało, że strony wykorzystujące system AdFox w nieumyślny sposób infekowały odwiedzających je użytkowników. W czasie pobierania skrótu newsa przeglądarka internetowa była przekierowywana na stronę ze szkodliwym kodem wykorzystującym lukę w Javie. W odróżnieniu od standardowego ataku szkodliwy program nie był ładowany na dysk twardy komputera, ale działał jedynie w pamięci operacyjnej komputera.

Szkodliwe oprogramowanie wysyłało do twórcy informacje o przeglądanych stronach internetowych. Jeżeli w informacjach pojawiały się jakiekolwiek wizyty na stronach banków cyberprzestępcy natychmiast instalowali trojana bankowego Lurk. Lurk wykradał poufne informacje użytkownika do uzyskania dostępu do kont bankowych wielu rosyjskich banków.

Źródło infekcji nie stanowiła sam sieć AdFox. Za pośrednictwem zhakowanego konta w sieci AdFox cyberprzestępcy zmodyfikowali banery informacyjne poprzez dodanie odsyłaczy do szkodliwej strony internetowej. Zmodyfikowany panel z wyświetlaniem najnowszych newsów pozwoliło cyberprzestępcom zaatakować nie tylko odwiedzających, ale również inne zasoby. Zainfekowane mogły zostać nawet dziesiątki tysięcy potencjalnych ofiar.

Szkodliwe oprogramowanie, które nie posiada żadnego pliku na dysku może jedynie działać do wyłączenia zainfekowanego komputera. Jednak istnieje spore prawdopodobieństwo, że użytkownik ponownie wejdzie na zainfekowaną stronę ponownie infekując swój komputer.

Źródło: Kaspersky Lab