В Сети зафиксирована активность ботнета, который состоит из 12,5 тысяч зараженных компьютеров. Его главной особенностью является то, что он выдает себя за подлинное дополнение для браузера Mozilla Firefox. Об этом в своем блоге сообщил эксперт по вопросам информационной безопасности Брайан Кребс, который подчеркнул, что вредоносное ПО сканирует посещаемые web-сайты на наличие уязвимостей.
Предположительно, ботнет под названием «Advanced Power» активен с мая 2013 года, правда, пока неизвестно, каким образом происходило инфицирование машин.
По словам Кребса, после инсталляции на компьютере жертвы вредоносная программа осуществляла поиск SQL-инъекйций на сайтах, которые посещала жертва. Скомпрометированные таким образом сайты злоумышленники использовали для того, чтобы увеличить количество зараженных машин. Эксперт по ИБ также подчеркнул, что таким образом ботнету удалось обнаружить свыше 1,8 тысяч web-страниц, уязвимых к SQL-инъекциям.
После попадания в систему с установленным обозревателем Mozilla Firefox, зловред устанавливает плагин «Microsoft.NET Framework Assistant», который и осуществляет сканирование посещаемых страниц.
Кребс сообщил, что образец вредоносного ПО хранится в базе Malwr.com, а сам ботнет мог распространяться из Чехии, поскольку исходный код содержит ряд комментариев, написанных на чешском языке.
Источник: SecurityLab
|