Новая атака типа drive-by была обнаружена Eset в Рунете и как таковая не требует, чтобы пользователь напрямую взаимодействовал в вредоносным ПО.
Большинство атак подобного типа полагаются на скрытые ifame, размещаемые внутри нормального кода, но скомпрометированные сайты переводят посетителей на атакующие ресурсы. Новая же атака фактически не использует никаких подозрительных включений, которые бы могли вызвать включение антивирусного сканера. Вместо этого, вредоносный код JavaScript подгружается из другого JS-файла, расположенного удаленно, однако подгрузка происходит только во время движения курсора мыши.
Подобным образом злоумышленники, судя по всему, пытаются отсеять реальных жертв (людей) от автоматизированных кодов, сканирующих веб-сайты на наличие вредоносов, что позволит продлить срок жизни данной атаки. В Eset называют найденную атаку дальнейшим развитием атак drive-by, предусматривающих прямую инъекцию кода. Так как тут используется более продвинутый алгоритм, то обнаружить реальный вредоносный код значительно сложнее.
В случае, если система детектирует, что на сайте присутствует реальный человек, то производится инсталляция кода, ранее присутствовавшего в наборе эксплоитов Nuclear Pack. В самом Nuclear Pack большая часть кодов эксплуатирует уязвимости в Java, Adobe Reader или Flash Player. В случае последней атаки, злоумышленники используют нашумевшую Java-уязвимость CVE-2012-0507, устраненную для Windows еще в феврале, а для Mac — на прошлой неделе, пишет СyberSecurity.ru.