Компания Trend Micro сообщила о быстром распространении в итальянском сегменте Интернета нового вируса, использующего уязвимость веб-браузеров, связанную с обработкой тега iFRAME.
Особенность новой вирусной атаки заключается в том, что вредоносный код содержат добропорядочные веб-сайты — отелей, туристических и автомобильных компаний, агентств по трудоустройству, налоговых служб, городских администраций. Значительная часть инфицированных ресурсов расположена на серверах одного из крупнейших итальянских хостинг-провайдеров.
Механизм действия вируса следующий: при посещении зараженной страницы прописанный в ее коде тег iFRAME скрытно переадресовывает пользователя на определенный IP-адрес, где расположен еще один веб-ресурс, содержащий вредоносный JavaScript-код. Последний пытается вызвать переполнение буфера, используя набор разнообразных уязвимостей в зависимости от типа браузера, в котором он запущен. Если это удается, на компьютер пользователя устанавливается «троянский конь», загружающий на ПК другие компоненты вируса — в том числе утилиту, отслеживающую нажатие клавиш.
Представители Trend Micro подчеркиваются, что с точки зрения социальной инженерии, авторам нового вируса «удалось совершить идеальное преступление» — поскольку подавляющее большинство пользователей не ожидает ничего плохого от официальных веб-сайтов, якобы по определению являющихся безопасными, распространение происходит с максимальной эффективностью.