A tömeges hacker támadás által elkövetett több ezer weboldal

Legfeljebb 40 000 weboldalt feltörtek, hogy átirányítsák a nem szándékolt áldozatokat egy másik webhelyre, amely megpróbálja megfertőzni a PC-ket rosszindulatú szoftverekkel, a biztonsági webes eladó szerint.

Az érintett webhelyeket feltörték hogy egy olyan hamis Google Analytics webhelyre irányítja az embereket, akik a webhelyek tulajdonosai számára adatokat szolgáltatnak egy webhely használatánál, majd egy másik rossz webhelyre - mondta Carl Leonard, a Websense fenyegetettségkutató menedzsere.

Ezek a weboldalak valószínűleg egy SQL injekciós támadással csapódott be, amelyben a rosszul konfigurált webes alkalmazások elfogadják a rosszindulatú adatokat és feltörtek. "

[További olvasás: Hogyan távolítsunk el rosszindulatú programokat Windows számítógépről]

Egy másik lehetőség az, hogy az FTP c a helyszínek redentáliait a hackerek valamilyen módon megkapták, így hozzáférést biztosítottak a webhely belső működéséhez. Úgy tűnik, hogy a hackerek automatizált eszközöket keresnek sebezhető webhelyek keresésére, mondta Leonard.

A legutóbbi kampány hangsúlyozza, hogy a sikeres hackerek veszélyes kódot tartalmaznak a rosszul biztonságos webhelyeknél.

hamis Google Analytics webhely, újra átirányítja egy másik rosszindulatú domainre. Ez a webhely megvizsgálja, hogy a PC-nek szoftverhiba van-e a Microsoft Internet Explorer böngészőjében vagy a Firefox-ban, amely kihasználható a rosszindulatú programok átadásához.

Ha nem talál problémát, akkor hamis hogy a számítógép fertőzött a rosszindulatú programokkal, és megpróbálja megkapni a felhasználót, hogy szívesen letöltse azt a programot, amely biztonsági szoftverként működik, de valójában egy trójai letöltő, mondta Leonard. Ezeket a hamis biztonsági programokat gyakran "scareware" -nek nevezik, és nem működnek reklámként.

A múlt péntektől csak 39 a 39 biztonsági szoftver képes észlelni a trójai programot, bár ez valószínűleg megváltozott olyan gyártóként, mint a Websense swap malware mint más vállalatokkal a teljes internetbiztonság javítása érdekében.

Nem világos, hogy a hackerek mit csinálnak az újonnan veszélyeztetett számítógépekkel, bár lehetséges, hogy beállíthatók arra, hogy spameket küldhessenek, egy botnet részévé váljanak, vagy hogy ellopják az adatokat

A rosszindulatú programot kiszolgáló rosszindulatú domain Ukrajnában található, ugyanabban a régióban, ahol a hírhedt Russian Business Network (RBN) működött. A RBN az adathalász kampányokban és egyéb rosszindulatú tevékenységekben érintett számítógépes bűnözők egy csoportja, mondta Leonard. Ez a webhely kedd délután kiderült. A RBN-nek most már inaktívnak kell lennie.

"Legyen ez a csoport része vagy legyen-e egy copycat, amely a múltban használt malware-csoportokhoz hasonló technikák valamelyikét használja, még nem vagyunk teljesen biztosak - mondta Leonard. "Nagyon nehéz meghatározni a pontos embereket mögött."

Mivel sok weboldalt feltörtek a támadás átadása érdekében, szinte lehetetlen mindenkit felvenni velük, mondta Leonard. "A Websense szerint a legújabb támadások nem Úgy tűnik, hogy kapcsolatban áll a Gumblar-lal, a múlt hónapban folyamatban lévő rosszindulatú kampánysal. A Gumblar eredményeként legalább 3 000 webhely fertőzött rosszindulatú kóddal, amely beolvassa a felhasználók számítógépeit az Adobe Systems szoftvereinek sérülékenységeihez.

A Gumblar egy számítógépre egyszerre ellopja az FTP bejelentkezési adatait, és ezeket az információkat felhasználja a más számítógépekre. Emellett egy személy böngészőjét is felveszi, és a Google keresési eredményeit más veszélyes linkekkel helyettesítik.