Пытаясь скрыть наличие вредоносного кода, злоумышленники создали вирус, загружающийся только при движении курсора мыши.
Согласно сообщению антивирусной компании Eset, специалистам в области безопасности удалось обнаружить неординарную Drive-by атаку, ориентированную на русскоязычных пользователей Интернет. Злоумышленники используют новаторскую технику сокрытия вредоносного JavaScript и неявные iFrame инъекции.
Как уточняют эксперты, в данной угрозе высокую степень сокрытия вредоносного кода от антивирусных сканеров обеспечивает тот факт, что загрузка вредоноса осуществляется только при перемещении курсора мышки. Более того, злоумышленники почти не используют подозрительных включений iFrame, подгружая вирус из удаленного JS-файла.
«В настоящий момент мы зафиксировали сотни web-сайтов в русскоязычном сегменте Интернет, инфицированных с помощью данной технологии», - подчеркивают в Eset.
Эксперты также отмечают, что данная Drive-by атака является «первым шагом вирусописателей на пути обхода проактивного обнаружения», позволяющим отсеивать реальных пользователей и избегать конфликтов с антивирусными сканерами.
Отметим, что авторы атаки используют код, присутствовавший в наборе эксплоитов Nuclear Pack, и атакуют Java-уязвимость CVE-2012-0507. Разработчики операционных систем Windows и Mac уже исправили данную брешь во всех своих продуктах.
Ознакомиться с уведомлением Eset можно здесь .
Спойлер: мы раскрываем их любимые трюки