Изначально эпидемия затронула тысячи популярных итальянских сайтов, а затем атака "очень быстро" распространилась по всему миру, говорится в сообщении исследовательской лаборатории TrendLabs компании Trend Micro, производителя сетевых антивирусных программ, программного обеспечения и услуг для защиты контента.
В течение 48 часов после начала эпидемии было взломано более двух тысяч итальянских сайтов. Trend Micro регистрировала удвоение числа жертв каждые 6-8 часов. Вредоносный код, находящийся на зараженных сайтах, устанавливает на компьютер пользователя программу, способную похищать пароли и превращать компьютер в сервер, предназначенный для совершения атак на другие компьютеры.
Код направляет посетителей зараженного компьютера на сервер, где находится набор хакерских инструментов Mpack, с помощью которых фиксируется информация об атакуемых компьютерах, включая IP-адреса, а также уязвимые места для взлома. "Примечательно, что Mpack можно приобрести на ряде русских сайтов примерно за 700 долларов", – отмечают в TrendLabs.
Зараженные сайты охватывают широкий спектр интересов: от туризма, автомобилей, фильмов и музыки, налогов и услуг по трудоустройству до сайтов некоторых итальянских городских советов и отелей. "Не миновала сия участь даже сайты, связанные с Джоном Бон Джови и Матерью Терезой", – говорится в сообщении.
По словам старшего исследователя интернет-угроз TrendLabs Ивана Макалинтала (Ivan Macalintal), злоумышленники используют несколько вредоносных программ для того, чтобы остаться незамеченными и установить программу, предназначенную для кражи такой персональной информации, как банковские данные и пароли.
В "Лаборатории Касперского", российском разработчике антивирусных программ, считают, что наибольшую опасность вредоносный код представляет для российских пользователей. "Угроза российским пользователям более реальна, чем каким-либо другим, поскольку данный вредоносный код был создан в России и продается русскими хакерами", – сказал РИА "Новости" ведущий вирусный аналитик "Лаборатории Касперского" Александр Гостев, комментируя сообщение TrendLabs.
По его словам, данный вредоносный код пользуется большой популярностью среди многих российских злоумышленников, в то время как для Европы этот случай стал первым подобным инцидентом. "Случаи с российскими хостинг-провайдерами, пострадавшими от него, нам давно известны, а вот для Запада Mpack стал новинкой", – отметил Гостев.
Эксперт "Лаборатории Касперского" также заявил, что подобные "наборы эксплоитов" (хакерских инструментов), предназначенных для продажи, появляются в компьютерной среде далеко не впервые – специалистам они известны уже пару лет. "Примечательно, что из ныне имеющихся на рынке, Mpack далеко не самый "лучший" (с точки зрения хакеров, конечно же)", – добавил Гостев, пояснив, что из-за громкого резонанса вокруг прихода Mpack в Италию эта вредоносная программа сейчас стала самой известной.
Гостев также сообщил, что подобное ПО обходится покупателям в тысячу долларов и предусматривает абонентскую плату за дальнейшую поддержку. "Авторы обещают, что заражаться будут 30-50% пользователей, заходящих на зараженный сайт, однако на практике это число не превышает 10-12%", – продолжает вирусный аналитик.
В заключение Гостев отметил, что "точное число зараженных итальянских сайтов неизвестно – впрочем, так же, как и в России, где при этом счет инфицированных страниц едва ли идет на тысячи".
По поводу ущерба, наносимого этим вредоносным ПО, эксперт "Лаборатории Касперского" заявил, что сам по себе Mpack ущерба не несет. "Ущерб наносится теми "троянцами", которые затем устанавливаются в систему (если Mpack сработал), а что это за "троянцы" и что они делают – определяет только тот, кто этот Mpack купил у авторов", – резюмировал Гостев.
