Официальный сайт MySQL заражал своих посетителей вирусами

По сообщениям блога компании Armorize Technologies, официальный сайт системы управления базами данных MySQL, расположенный по адресу MySQL.com, распространял со своих страниц вредоносное ПО.

Чтобы "подхватить" вирус, посетителям MySQL.com даже не нужно было ничего скачивать - вирус загружался самостоятельно и незаметно.

Представители Armorize Technologies сняли видео о том, как происходил процесс заражения. В целом картина выглядела так: в браузере пользователя выполнялся JavaScript, который через iframe загружал с принадлежащих злоумышленникам сайтов т.н. "Java эксплойт" (программу, использующую дыры в безопасности установленной на компьютере Java). Надо заметить, что Java установлена на большинстве компьютеров и отвечает за выполнение Java-приложений, но в данном случае она использовалась для загрузки исполняемого файла EXE, который и являлся вирусом.

На момент обнаружения вирусной атаки исполняемый файл вируса определялся как вредоносная программа только несколькими антивирусами. При сканировании вирусного EXE на сайте virustotal.com только от четырёх (при первом сканировании) до шести из 43 антивирусов давали положительный результат проверки на вирусы (с гордостью стоит отметить, что антивирус Касперского - был в их числе). Сейчас вредоносный EXE определяется как вирус уже 14-ю антивирусами.

Через некоторое время после того, как Armorize Technologies забили тревогу, распространяющий вирусы код был удалён со страниц MySQL.com.

Сколько при этом пользовательских машин оказалось заражено - не уточняется. Судя по видео, группу риска составили посетители с установленной на компьютере Java, которые зашли на сайт MySQL через Internet Explorer, при этом в настройках браузера должно было быть разрешено выполнение JavaScript.

Как злоумышленникам удалось поместить вредоносный код на сайт MySQL.com - неизвестно. По некоторым данным, хакерам удалось получить администраторский доступ к сайту. Так, на одном из российских форумов было опубликовано объявление о продаже доступа к серверам MySQL.com за 3 тысячи долларов. Соответствует ли это объявление действительности - остаётся только гадать.

Обсуждение