Tisíce webových stránek zasažených útokem hromadného útoku

Až 40 000 webů bylo napadeno, aby přesměrovaly nevědomé oběti na jiný web, který se snaží napadnout počítače škodlivým softwarem, podle dodavatele zabezpečení Websense

Dotčené weby byly napadeny aby hostil kód JavaScript, který nasměruje lidi na falešný web Google Analytics, který poskytuje údaje pro majitele webových stránek o využití webu, a pak na jinou špatnou stránku, uvedl Carl Leonard, ředitel výzkumu ohrožení Websense.

Tyto webové stránky mají pravděpodobně byl napaden pomocí injekčního útoku SQL, v němž nesprávně nakonfigurované webové aplikace přijaly škodlivé údaje a dostali se do hackerů, řekl Leonard.

Další možností je, že FTP C redakce pro stránky byly nějakým způsobem získány hackery, což jim umožnilo přístup k vnitřnímu fungování webu. Zdá se, že hackeři používají automatizované nástroje k vyhledání zranitelných webových stránek, uvedl Leonard.

Nejnovější kampaň podtrhuje úspěšnost hackerů při hostingu nebezpečného kódu na špatně zabezpečených webových stránkách

. falešný analytický web Google, přesměrovává znovu na jinou škodlivou doménu. Tato stránka testuje, zda má počítač v softwaru prohlížeče Microsoft Internet Explorer nebo Firefox prohlížeč Microsoft Internet Explorer nebo Firefox, který lze zneužít k šíření malwaru, Leonard řekl.

Pokud tam nenajde problém, spustí falešný varování, že počítač je napaden malwarem a pokouší se dostat uživatele k ochotnému stažení programu, který se považuje za bezpečnostní software, ale ve skutečnosti je stahovákem trojských koní, řekl Leonard. Tyto falešné bezpečnostní programy se často nazývají "scareware" a nefungují tak, jak jsou inzerovány.

Od minulého pátku pouze čtyři z 39 bezpečnostních softwarových programů dokázaly zjistit, že Trojan, i když to je nyní pravděpodobně změněno jako dodavatelé, jako je Websense swap malware vzorky s jinými společnostmi za účelem zlepšení celkové bezpečnosti na internetu

Není jasné, co hackeři dělají s nově ohroženými počítači, ačkoli je možné, že mohou být nakonfigurováni k odesílání nevyžádané pošty, stanou se součástí botnetu nebo budou mít ukradená data

Chybná doména, která slouží škodlivému softwaru, je hostována na Ukrajině, ve stejné oblasti, kde působila proslulá ruská obchodní síť (RBN). RBN je gang počítačových zločinců zapojených do phishingových kampaní a dalších škodlivých aktivit, řekl Leonard. Webový server vypadal z úterního odpoledne dolů. RBN se považuje za neaktivní.

"Ať už je to součást této skupiny, nebo jestli je to kopírování pomocí některých technik, které jsou podobné těm, které skupina malwaru používala v minulosti, zatím nejsme zcela jistá, "Řekl Leonard. "Je velmi obtížné přesně určit přesné lidi za tím."

Protože tolik webových stránek bylo napadeno útokem, je téměř nemožné kontaktovat všechny, řekl Leonard. "Zdá se, že souvisí s Gumblarem, malwarovou kampaní, která probíhá minulý měsíc. Gumblar vyústil v to, že alespoň 3 000 webů se dostalo nakažených škodlivým kódem, které naskenovaly počítače uživatelů zranitelností v softwaru Adobe Systems.

Jakmile Gumblar odhalí chyby při přihlášení k počítači, použije tyto informace k šíření do jiných počítačů. Rovněž ovládá webový prohlížeč a nahrazuje výsledky vyhledávání Google jinými nebezpečnými odkazy.