«Лаборатория Касперского» сообщает о вредоносной активности на сайтах трех российских банков. Все три страницы стали жертвами одного и того же сильно зашифрованного и обфусцированного скрипта, скрытно перенаправляющего браузер на вредоносный, распространяющий эксплоиты, сайт.
Посетив любой из трех зараженных ресурсов и просмотрев, откуда загружаются эксплоиты и вредоносные файлы, можно найти поразительное сходство с схемой заражения PHP.NET.
В случае его заражение наборы эксплоитов загружались через сайты-редиректоры:
hxxp://url.whixxxsb.co.uk/stat.htm
hxxp://aes.whxxxdigitalphoto.co.uk/nid?1
Три зараженных российских сайта использовали похожие адреса:
- Стоимость медиауслуг (открыть PDF) -
.png)