Условия для срабатывания скрытых редиректов и способы их обнаружения

Алгоритм срабатывания современных скрытых редиректов на сайте несколько сложнее, чем просто “перенаправить посетителя с мобильным браузером на адрес http://…”. Условия, при которых редирект себя проявит, сложны и витиеваты. Все проверки внутри кода направлены не столько на сегментацию посетителей и отсеивание ненужной аудитории, сколько на маскировку и увеличение “срока жизни” вредоносного кода на сайте: чем позже его заметят, тем больше посетителей будет перенаправлено с зараженного сайта.

Рассмотрим достаточно свежий образец вредоносного редиректа и условия, при которых он наступает:

Читать далее

Скрытый мобильный редирект (wap-click) в Chaser.ru

Продолжаем знакомить читателей с виджетами, которые угрожают безопасности сайта или посетителей. Сегодня речь пойдет о сервисе обратного звонка Chaser.ru. Сервис предлагает вебмастеру установить виджет на коммерческий ресурс для повышения конверсии.

Пару дней назад к нам обратился клиент с жалобой на скрытый мобильный редирект. По его словам, на сайте происходило перенаправление посетителей, приходящих с мобильных устройств, на сервис платных подписок (коротко — wapclick-редирект). Как это обычно бывает, перенаправление происходит один раз для мобильного устройства в сутки. И только, если посетитель зашел через мобильный интернет, не через WIFI.

UPD 27 Марта 18:30 — разработчик сервиса обнаружил взлом сервиса и устранил проблему:

Читать далее

«Шпион» в Magento: вирусный код в магазине на базе CMS Magento

Если ваш сайт работает на базе CMS Magento и вы не устанавливаете патчи безопасности сразу, как только они анонсируются на сайте производителя, то скорее всего ваш сайт взломан и заражен.

magento_logo

Наиболее популярный в последнее время вариант использования взломанного сайта на Magento – это установка скрипта-шпиона, который отслеживает формы и отсылает вводимые в них значения хакеру. Так хакер получает доступ к данным банковских карт, с которых клиенты оплачивают покупки в магазине, а также персональные данные владельца карты. То есть все те значения, которые покупатель вводит на стадии оформления заказа.

Читать далее

Веб-угрозы за сентябрь 2016 по статистике веб-сканера ReScan.pro

Согласно статистике веб-сканера ReScan.pro, через который еженедельно проходит несколько тысяч веб-ресурсов, средние показатели заражений сайтов в сентябре держались на уровне 31% (+8%). То есть примерно треть проверяемых сайтов содержит код, который угрожает или безопасности посетителей, или техническим показателям сайта.

Статистика_веб-сканера_ReScan_pro 2

Читать далее

Веб-угрозы за август 2016 по статистике веб-сканера ReScan.pro

Согласно статистике веб-сканера ReScan.pro, через который еженедельно проходит несколько тысяч веб-ресурсов, средние показатели заражений сайтов в августе держались на уровне 23%. То есть примерно пятая часть проверяемых сайтов содержит код, который угрожает или безопасности посетителей, или техническим показателям сайта.

Статистика_веб-сканера_ReScan_pro 2

В среднем показатели по проблемным сайтам следующие:

  • 15% проверямых сайтов содержали вирусный код в HTML страницах
  • 6% проверяемых сайтов содержали вирусы в загружаемых javascript файлах
  • 9% сайтов перенаправляли посетителей на сторонние ресурсы (рекламные, мошеннические и вредоносные)
  • 5% сайтов находилось в блек-листе сервисов VirusTotal
  • 4% сайтов были под санкциями Яндекса
  • 3% сайтов были под санкциями Google

Читать далее

Редирект на фишинговую страницу с адресом /sberbank/

Ежедневно сканер ReScan.pro фиксирует несколько взломанных сайтов, которые выполняют редирект на мошенническую страницу, собирающую данные банковских карт под предлогом проведения розыгрыша призов (Акция «Встречаем лето с подарками»). Мошенническая страница в своем адресе содержит фрагмент /sberbank/. Обнаруженные вредоносные инжекты на зараженном сайте маркируются идентификаторами вирусных сигнатур CMW-JS-90149-mlw, CMW-JS-90218-js.redirect.inj, blacklisted.

rescan

priz0

В данной фишинговой схеме присутствуют два взломанных сайта.

Читать далее

Вирус в vBulletin — редирект на filestore72.info

Вредосной кампании filestore72.info уже больше года. В свое время мы писали про нее, когда был массовый взлом Invision Power Board (IP Board). Но поскольку к нам все еще приходят клиенты с данным заражением, то есть кампания по-прежнему активна и перенаправляет посетителей теперь уже другой CMS vBulletin на вредоносные страницы, мы решили более подробно рассказать о том, что за вредоносный код скрывается на зараженном сайте, как вылечить от него сайт и какие запросы использует хакерский бот, чтобы получать несанкционированный доступ к сайту.

FileStore72_info_-_Your_File_Hosting

Читать далее

Вредоносная кампания bokotraffic.com

В настоящий момент набирает активность вредоносная рекламная кампания с использованием TDS системы (системы распределения трафика) bokotraffic.com. Она пришла на смену предыдущему лидеру по числу заражений — zulotraffic.com.

В настоящий момент 34% инцифированных сайтов, которые проверены сервисом ReScan.Pro, содержат редирект на bokotraffic.com.

Статистика_веб-сканера_ReScan_pro

Зараженные сайты работают преимущественно на CMS Joomla и WordPress. Посетитель перенаправляется на различные рекламные страницы, порой, мошеннического содержания или предлагающие загрузить сомнительное программное обеспечение для мобильного устройства.

Ежегодный_опрос_посетителей_2016_г_

Читать далее

Всплывающая реклама на сайте – результат зараженного плагина браузера

В середине марта прокатилась новая волна запросов, связанных с заражением плагина браузера на компьютерах пользователей, администрирующих веб-ресурсы. О данной проблеме мы писали ранее.

utf-8___D0_B7_D0_B0_D1_80_D0_B0_D0_B6_D0_B5_D0_BD_D0_BD_D1_8B_D0_B8_CC_86_20_D0_B1_D1_80_D0_B0_D1_83_D0_B7_D0_B5_D1_80_docx

Веб-мастера и владельцы сайтов жаловались на то, что при заходе на сайт всплывает рекламный блок, который никто из администраторов специально не устанавливал. Причем надоедливая реклама появлялась как на главной, так и на любой другой странице сайта.

Читать далее

Исследование безопасности 50 тыс. сайтов рейтинга Alexa в зоне .ru

В мае 2016 года мы анонсировали онлайн-сервис для проверки сайтов на вирусы, вредоносный код и опасные виджеты ReScan.pro. Точечные проверки сервисом некоторых популярных ресурсов выявили наличие следов взлома, внедрения скрытых редиректов на зараженные ресурсы и перенаправление на сайты с платными подписками. Поэтому мы решили провести исследование топовых ресурсов и выяснить, насколько вообще можно им доверять, и так ли безопасны известные ресурсы с высокой посещаемостью. В качестве выборки мы использовали первые 50 000 сайтов рейтинга Alexa с доменом в зоне RU.

Если посмотреть на выборку топовых сайтов рейтинга по домену .ru, то в первых трех сотнях будут сайты Яндекса, Google, Mail.ru и других крупных проектов и компаний, а дальше пойдут, в основном, развлекательные, игровые ресурсы, торренты и профильные СМИ (а еще время от времени будут встречаться домены тизерных партнерских сетей).

Если у сайтов из TOP 300 с безопасностью все в порядке (ей занимаются, причем ИБ специалисты), то безопасность ресурсов, расположенных в рейтинге чуть ниже, но все еще в первой тысяче – под большим вопросом. Для хакеров подобные ресурсы привлекательны тем, что, с одной стороны, сайты имеют высокую посещаемость (от 10K до 100K в сутки), а с другой – низкий уровень защиты (иногда, вообще никакого: просто установлена CMS с шаблонами и плагинами). Например, ресурс с посещаемостью 85 тыс. уникальных хостов в сутки может работать на CMS WordPress с уязвимыми версиями плагинов. Получается, что взлом данной группы сайтов чрезвычайно выгоден хакерам, поскольку соотношение затрат на взлом к отдаче в результате монетизации для данной категории сайтов максимально, и в теории — это лакомый кусок, на который, могли покуситься хакеры.

Чтобы данную теорию проверить на практике, мы просканировали нашим сервисом 50 тысяч сайтов и посмотрели, сколько из них перенаправляют посетителей на опасные сайты, содержат код недобросовестной рекламы, редиректят на сервисы с платными подписками (wap-click партнерки), а также косвенно выяснили число сайтов, находящихся под санкциями Яндекса, Google и антивирусных сервисов.

Получился результат, заслуживающий внимания.

Читать далее