Посетив любой из трех зараженных ресурсов и просмотрев, откуда загружаются эксплоиты и вредоносные файлы, можно найти поразительное сходство с схемой заражения PHP.NET.
В случае его заражение наборы эксплоитов загружались через сайты-редиректоры:
hxxp://url.whixxxsb.co.uk/stat.htm
hxxp://aes.whxxxdigitalphoto.co.uk/nid?1
Три зараженных российских сайта использовали похожие адреса:
hххp://b-network.northgaxxxminalattorney.com/stat.htm
hххp://e-dev.cobbxxxminaldefenseattorney.com/nid?1
Единственное различие – это наборы эксплоитов, загружаемые браузером жертвы: PHP.NET использовал Magnitude, а банки – Neutrino.
Как результат, эксплоиты используют уязвимость Java CVE-2013-2463 и запускают на ПК бэкдор Neurevt. Он способен:
- перехватывать HTTP/HTTPS трафик, в том числе банковскую информацию;
- запрещать загрузку в системе множества антивирусных продуктов;
- похищать пароли от многих FTP, SSH, почтовых клиентов, мессенджера Skype, а также сохраненные в браузере пароли;
- распространяться через съемные носители;
- сделать компьютер частью ботнета и осуществлять DDoS-атаки.
Продукты ЛК детектируют вредоносное ПО как Trojan.Win32.Neurevt.ei, а Java-эксплоиты – как HEUR:Exploit.Java.Generic.
ЛК предупредила банки о наличии вредоносного кода на их web-сайтах.
