На сайте MySQL.com обнаружен вредоносный JavaScript-код, распространяющий троянское ПО

Спустя полгода с момента прошлого взлома [1] сайта MySQL.com, история повторилась и сайт вновь был скомпрометирован [2]. В результате атаки на страницах MySQL.com удалось разместить вредоносный JavaScript-код, поражающий известные уязвимости в Windows-сборках web-браузеров, а также плагинов Adobe Flash, Adobe Reader и Java. В настоящее время работа сайта восстановлена. Тем не менее, в понедельник вредоносный код присутствовал [3] на сайте как минимум в течение 6 часов, с 16 до 22 часов по московскому времени.

Для поражения машин клиентов был задействован стандартный набор Windows-эксплоитов Black Hole [4], включающий в себя 9 разных эксплоитов, 4 из которых направленны на поражение Java-плагина. В случае наличия у посетителя необновленной версии одного из эксплуатируемых компонентов, на машину скрыто устанавливалось троянское ПО MW:JS:159 [5], занимающиеся перехватом FTP-паролей из профиля FTP-клиента с последующим инфицированием связанных с этими паролями аккаунтов на хостинге (поражаются PHP, HTML и JavaScript файлы на удаленном сервере). Для активации вредоносного ПО не требуется выполнение каких-либо действий, достаточно было просто открыть в браузере страницу. В настоящее время распространяемое через MySQL.com вредоносное ПО выявляют [6] только 4 антивирусных продукта (ClamAV, Rising, TrendMicro и TrendMicro-HouseCall) из 44, зарегистрированных в базе VirusTotal.
Детали, описывающие использованный метод проникновения на сайт MySQL.com, не сообщаются - компания Oracle отказалась прокомментировать ситуацию, пояснив, что расследование инцидента ещё не завершено. Судя по характеру вредоносного ПО, можно допустить, что вероятно взлом MySQL.com мог быть вызван не целенаправленной атакой, а является следствием утечки пароля у одного из администраторов web-сайта, рабочая машина которого была заражена троянским ПО.
С другой стороны, по данным [7] представителей компании Trend Micro, за неделю до взлома неизвестный пытался на одном из форумов в сети продать за 3000 долларов пароль с root-доступом для трех серверов MySQL.com, в качестве доказательства работоспособности которого приводился ничего не значащий скриншот с типовым выводом "uname -a" в Fedora Linux 11. Кроме того, в результате мартовской атаки, по заявлению атакующих, был похищен список пользователей и администраторов СУБД с хэшами их паролей. Возможно, какой-то из паролей не был заменен и был использован для совершения повторной атаки.