Неизвестные хакеры всего за две недели заразили около миллиона сайтов, работающих на базе технологии ASP.NET, широко применяющейся при создании веб-сервисов, сообщает сайт ZDNet.

Зараженные сайты перенаправляют пользователей на страницы, с которых автоматически на их компьютеры может быть загружено вредоносное ПО. При этом, как сообщает ZDNet, через эти страницы распространяются вирусы, которые пока детектируются только очень небольшим количеством антивирусных программ. Впервые об атаке стало известно девятого октября. К 12 октября, всего за три дня, хакерам удалось заразить не менее 180 тысяч сайтов. В четверг днем их уже было более 1,2 миллиона.

Сайты были заражены методом инъекции вредоносного JavaScript-сценария в код сайтов, на которых применяются технологии ASP.net. Возможность атаки возникает, если веб-мастер, создававший атакуемый сайт, уделил недостаточно внимания защите от подобных атак — хакеры рассчитывают именно на нерадивость веб-мастеров, сообщают исследователи из компании Armorize, впервые обнаружившие атаку. Они же считают, что ее авторы, прежде всего, стремятся атаковать браузеры, в которых в качестве основного языка установлен английский, немецкий, французский итальянский или польский. Такой вывод они сделали, проанализировав JavaScript-сценарий, который хакеры размещают на атакуемых сайтах — в нем содержится инструкция перенаправлять пользователей на вредоносные сайты в случае, если исполняется необходимое языковое условие.

При этом, сообщают исследователи, один из серверов, с которых распространялось вредоносное ПО находится в России, но сейчас он неактивен.

Антивирусные специалисты также отмечают, что данная атака явно связана с массированной SQL-атакой LizaMoon, случившейся этой весной. В ходе LizaMoon за неделю было заражено более 300 тысяч сайтов, и для ее реализации использовался похожий сценарий: в странички сайтов внедрялся дополнительный код, перенаправлявший пользователей на сайт, с которого в его компьютер загружались троянские программы. Для организации таких сайтов злоумышленники зарегистрировали несколько доменов. В случае с нынешней атакой при регистрации доменов был использован тот же адрес электронной почты, что и в атаке LizaMoon, отмечают исследователи. Это и указывает на «связанность» двух атак.

Поскольку теперь зараженные сайты могут вернуться в нормальное состояние, только если их администраторы найдут ошибку, которую использовали хакеры, и устранят ее, антивирусные специалисты советуют пользователям позаботиться о себе самостоятельно: в частности использовать расширение NoScript для браузера Firefox и аналогичные решения для других браузеров. NoScript разрешает работу JavaScript, Java, Flash и других технологий, которые часто используют хакеры для атак в интернете, только на тех сайтах, которые пользователь сам поместил в список доверенных. Все другие попытки автоматического исполнения сценариев Java- и Flash пресекаются, что существенно снижает вероятность заражения компьютера.