Компания Symantec раскрыла подробности об угрозе Trojan.Milicenso, которая стала известна благодаря побочному действию – отправке на печать своего программного кода через уязвимость CVE-2010-2729. В ходе дополнительного исследования удалось установить, что данное вредоносное ПО загружается при помощи веб-атаки перенаправления ".htaccess", и как минимум 4 тыс. веб-сайтов были скомпрометированы группировкой, ответственной за данную угрозу. Файл ".htaccess" содержит конфигурационные данные веб-сервера, используемые веб-администратором для управления сетевым трафиком. Например, для запрещения доступа к определенным страницам, перенаправления запросов мобильных устройств на специальные сайты и так далее. Для мониторинга сетевого трафика с легитимными сайтами злоумышленники (и некоторые готовые наборы вредоносного ПО) используют уязвимость веб-серверов для модификации файла ".htaccess". Когда пользователь переходит по ссылке, браузер запрашивает доступ к скомпрометированному сайту. Веб-сервер, как правило, скрытно перенаправляет пользователя на вредоносный сайт, используя данные из файла ".htaccess". На сайте злоумышленников размещается набор эксплоитов, способный заразить систему пользователя различными способами. Обнаруженная на серверах конфигурация ".htaccess" позволяла злоумышленникам производить перенаправления пользователей только в случае использования определенной ОС, перехода с определенных веб-сайтов и первого визита на веб-сайт. Таким образом, злоумышленники пытались более персонифицировать атаку и скрыть вредоносную активность. Изучение журналов доступа некоторых веб-сайтов позволило определить, что группировка использует технологию переадресации ".htaccess" как минимум с 2010 г. За последние несколько дней специалисты Symantec обнаружили почти 4 тыс. уникальных взломанных веб-сайтов, которые перенаправляют пользователей на вредоносные ресурсы. Большинство из них являются персональными страницами или сайтами средних и малых компаний, однако в перечне также присутствуют государственные, телекоммуникационные и финансовые организации, сайты которых также были скомпрометированы.
Источник