Эксперты компании Websense предупреждают, что жертвами опасного скрипта, пытающегося скрытно установить на компьютеры конечных пользователей вредоносные программы, стали уже свыше 40 000 сайтов.
Новый метод атаки получил название Beladen, поскольку beladen.net – это один из доменов, используемых для того, чтобы натравливать свору эксплоитов на непропатченные уязвимости в браузерах Internet Explorer и Firefox, а также таких приложениях, как Apple QuickTime. При нападении в код веб-сайта встраивается отлично замаскированный JavaScript, который раз от раза незначительно видоизменяется, делая невозможным его выявление поисковыми системами.
Большинство скомпрометированных ресурсов принадлежит небольшим компаниям и правительственным агентствам, однако специалисты Websense до сих пор не смогли выявить общий для них всех компонент, который и служит мишенью для атаки. Это заставляет экспертов думать, что доступ на сайты преступники получают, устанавливая кейлоггеры на машины администраторов (кстати, один из владельцев выложил подробности заражения своей системы на базе Linux с сервером Apache здесь).
Общее число инфицированных пользователей, впрочем, остается невыясненным. Например, по данным компании ScanSafe, на сайты, пораженные Beladen, за весь май пыталось зайти лишь три сотых процента пользователей, входящих в ее клиентскую базу, в то время как сайты, подвергшиеся атаке скрипта Gumblar , за тот же период посетило 37% клиентов.
Прежде чем жертвы попадают на beladen.net, они перенаправляются на один или несколько адресов с названиями типа googleanalytlcs.net, умышленно ошибочное написание которых нацелено на то, чтобы ввести пользователей в заблуждение и заставить их думать о том, что сервер принадлежит службе Google Analytics. Помимо этого, киберпреступники применяют многоуровневую обфускацию самого скрипта, а также используют цепочку промежуточных серверов, которые проверяют, что пользователь перешел по всем предназначенным для него ссылкам и затрудняют таким образом работу экспертов.
Отметим, что по убеждению западных аналитиков, авторами данного нападения может являться российская группировка RBN (Russian Business Network), получившая широкую известность благодаря использованию изощренных методов компрометации серверов.
Владельцы веб-сайтов, подозревающие, что их ресурс взломан, должны проверить исходный код главной страницы. Если они обнаружат фрагмент странного кода, который мистическим образом появился на сайте совсем недавно, значит это, скорее всего, Beladen.
