Группа хакеров использует уязвимость в веб-сервере Adobe ColdFusion для установки вредоносного программного обеспечения, работающего как подключаемый модуль для другого веб-сервера Microsoft IIS. Исследовательская компания Trustwave сообщила о выявлении образцов веб-серверов Microsoft IIS, со специальными вредоносмными модулями для кражи данных, которые передают пользователи сайтов под управлением IIS.
Вредоносный модуль представляет собой DLL-библиотеку и может распространяться в виде нескольких разных файлов под разными именами, однако существуют версии модулей как под 32-, так и под 64-битные версии серверов IIS 6 и IIS 7. Сама программа-вредонос по классификации Trsusware получила наименование ISN.
ISN может определять версии IIS и устанавливать подходящие под них модули, которые затем будут перехватывать POST-запросы и передаваемые в них пользовательские данные, транслируя эти сведения на указанные URL-хосты, а также сохраняя данные в журналах отчетов. По словам специалистов, выбранный хакерами метод достаточно изящный, так как позволяет перехватывать сведения даже в случае SSL-шифрования трафика, когда такие сведения, как номера банковских карт, имена PIN-коды и прочие, передаются по защищенным каналам связи.
При этом, хакеры имеют некоторые возможности по управлению вредоносной DLL-библиотекой, передавая ей ряд команд.
В Trustware говорят, что в обнаруженных атаках через сервер Adobe Coldfusion хакеры использовали уязвимости CVE-2013-0629, исправления для которых сама Adobe выпустила еще в январе. Кроме того в случае с обнаруженной атакой, хакеры пытались установить на веб-сервер шелл-оболочку, которая позволяет им выполнять команды на сервере.
Источник: CyberSecurity
|
