Po odpoczynku kilku miesięcy, atak sieciowy w sieci SQL rozprzestrzenia się ponownie

Sieć botnetów zaatakowanych komputerów wskoczyła na rynek w ciągu kilku ostatnich dni i zaczęła infekować witryny sieci Web, aby zaatakować komputery nieoczekiwanych użytkowników.

Nazwany Asprox, po zestawie narzędzi wykorzystywanym w w wyniku ataków sieć ta zwróciła uwagę w maju i czerwcu, kiedy zainfekowała około dziesiątki tysięcy stron internetowych w ponad 1000 domenach internetowych, zazwyczaj infekując witryny małych firm, szkół i samorządów lokalnych.

"Po kilku miesiącach bezczynności botnet ten powraca do swoich dawnych sztuczek "- napisał w czwartek na blogu Gary Warner, dyrektor badań w dziedzinie informatyki komputerowej z University of Alabama w Birmingham.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z twój komputer z Windows]

Dostawca zabezpieczeń Firma SecureWorks wykryła atak "kilka dni temu", gdy zauważyła wzrost liczby tak zwanych ataków SQL injection na klientów firmy, jak twierdzi Jason Milletary, analityk bezpieczeństwa w firmie. Jednak nie jest jasne, czy ataki są tak złośliwe, jak wcześniej, powiedział.

W ataku z użyciem iniekcji SQL, przestępcy wykorzystują błędy programowania baz danych, aby oszukać witryny sieci Web w publikowaniu swojego kodu ataku. W przypadku Asprox ten proces wstrzykiwania SQL jest zautomatyzowany, więc może dodawać złośliwe oprogramowanie do wielu stron internetowych w bardzo krótkim czasie.

Asprox umieszcza trochę kodu JavaScript w zhakowanej witrynie sieci Web, która generuje niewidoczny element HTML, nazywane iFrame, które z kolei uruchamia kod ataku. Według Warnera przynajmniej niektóre przykłady obecnego kodu Asprox wykorzystują błąd w programie Flash Player firmy Adobe.

Naukowcy z grupy strażników bezpieczeństwa Shadowserver twierdzą, że śledzili ponad 2000 stron internetowych, które zostały zainfekowane przez ten najnowszy atak Asprox o wiele mniej stron internetowych niż zaatakowano pierwszą wersją złośliwego oprogramowania.

W wywiadzie e-mail Mike Johnson z Shadowserver powiedział, że gang Asprox dokonał rewizji swojego złośliwego oprogramowania, zmieniając strukturę plików konfiguracyjnych ich kodu i dodając nowe. komputery sterujące i kontrolujące, z których nie korzystały w przeszłości. "Wygląda na to, że zaczynają się od zera po utracie kontroli nad poprzednim botnetem", powiedział.

Asprox nie jest obecnie poważnym problemem dla większości użytkowników sieci, mówią eksperci ds. Bezpieczeństwa; to tylko kolejny znak stale obecnych zagrożeń w sieci.

"Ludzie powinni spodziewać się złośliwych stron" - powiedział Johnson. "Ludzie powinni spodziewać się, że niewinne strony zostaną w jakiś sposób upośledzone, mają kształt lub formę, a następnie próbują zaatakować przeglądarkę."