Рекламная сеть AdFox заражена вредоносным кодом
Лаборатория Касперского представила отчет о действии вредоносного ПО, использующего несколько любопытных подходов одновременно. Во-первых, благодаря многоплатформенному характеру данное ПО способно атаковать как Mac OS X, так и Windows-системы (а теоретически и Linux) через уязвимости в устаревших версиях Java.
Вторая особенность состоит в том, что зловредное ПО функционирует только в памяти штатного процесса javaw без запуска посторонних процессов или записи файлов на диск. Такое поведение представляет дополнительную сложность для антивирусных программ, однако работоспособность кода утрачивается после первого перезапуска. Несмотря на непродолжительный период жизни, вероятность повторного заражения очень высока, так как вредоносный код распространяется через рекламные блоки клиента сети AdFox. Материалы сети можно встретить на самых популярных новостных ресурсах, включая Газету.Ру и РИА Новости, а значит, компьютеры пользователей-завсегдатаев этих сайтов подвергаются систематическому заражению.
Целью вредоносного ПО является отправка мошенникам истории посещения сайтов и запросов на управляющие команды. На компьютеры пользователей сервисов онлайн-банкинга также устанавливается троян Lurk, позволяющий перехватывать платежные данные, чтобы впоследствии мошенники могли обокрасть банковские счета.
Зловредное ПО подобного типа свидетельствует о появлении новой тенденции, в рамках которой поражаются не внешние данные (файлы на диске), а лишь запущенный браузер или его плагины. Сегодня браузер стал неотъемлемой частью нашей жизни, его используют как платформу для работы и закрывают все реже. Модификация вредоносным кодом уже запущенных процессов браузера или плагина делает такие атаки наиболее трудными для выявления.