Tysiące stron internetowych urażonych atakiem hakerów

Zredukowano nawet 40 000 witryn sieci Web, aby przekierować nieświadome ofiary do innej witryny sieci Web, która próbuje zainfekować komputery PC złośliwym oprogramowaniem, zgodnie z Websense bezpieczeństwa.

Zainfekowane strony zostały zhackowane do obsługi kodu JavaScript, który kieruje ludzi do fałszywej strony internetowej Google Analytics, która dostarcza danych dla właścicieli witryn sieci Web na wykorzystanie strony, a następnie do innej, złej strony, powiedział Carl Leonard, kierownik ds. badań nad zagrożeniami dla Websense.

Te witryny internetowe prawdopodobnie został zhackowany przez atak wstrzyknięcia SQL, w którym nieprawidłowo skonfigurowane aplikacje internetowe przyjmują złośliwe dane i zostają zhakowane, powiedział Leonard.

[Dalsze informacje: Jak usunąć złośliwe oprogramowanie z komputera z systemem Windows]

Inną możliwością jest to, że FTP do Redencje dla stron zostały w jakiś sposób uzyskane przez hakerów, dając im dostęp do wewnętrznej strony witryny. Wygląda na to, że hakerzy używają automatycznych narzędzi do wyszukiwania słabych stron internetowych, powiedział Leonard.

Najnowsza kampania podkreśla, że ​​hakerzy sukcesu umieszczają niebezpieczny kod na słabo zabezpieczonych witrynach internetowych.

Gdy użytkownik zostanie skierowany do Fałszywa witryna Google Analytics przekierowuje ponownie do innej złośliwej domeny. Ta strona testuje, czy komputer ma luki w oprogramowaniu w przeglądarce Microsoft Internet Explorer lub Firefox, które mogą być wykorzystane do dostarczania złośliwego oprogramowania, powiedział Leonard.

Jeśli nie znajdzie tam problemu, uruchomi fałszywy ostrzeżenie informujące, że komputer jest zainfekowany złośliwym oprogramowaniem i stara się, aby użytkownik dobrowolnie pobrał program, który rzekomo jest oprogramowaniem zabezpieczającym, ale w rzeczywistości jest to trojan downloader, powiedział Leonard. Te fałszywe programy bezpieczeństwa są często nazywane "scareware" i nie działają tak, jak reklamowano.

Od zeszłego piątku tylko cztery z 39 programów zabezpieczających mogły wykryć tego trojana, chociaż obecnie prawdopodobnie zmienił się on na dostawców takich, jak Websense swap malware próbki z innymi firmami w celu poprawy ogólnego bezpieczeństwa w Internecie.

Nie jest jasne, co hakerzy robią z nowo przejętymi komputerami, chociaż możliwe, że można je skonfigurować do wysyłania spamu, stania się częścią botnetu lub kradzieży danych one.

Szkodliwa domena obsługująca szkodliwe oprogramowanie jest hostowana na Ukrainie, w tym samym regionie, w którym działała znana sieć Russian Business Network (RBN). RBN to gang cyberprzestępców zaangażowanych w kampanie phishingowe i inne złośliwe działania, powiedział Leonard. Wygląda na to, że ta strona internetowa nie działa od wtorkowego popołudnia. Uważa się, że RBN jest teraz nieaktywny.

"Niezależnie od tego, czy jest to część tej grupy, czy też jest to naśladownictwo wykorzystujące niektóre techniki, które są podobne do używanych przez grupę złośliwego oprogramowania w przeszłości, nie jesteśmy jeszcze do końca pewni. - powiedział Leonard. "Trudno jest dokładnie wskazać ludzi, którzy za tym stoją".

Ponieważ tak wiele stron internetowych zostało zhakowanych w celu przeprowadzenia ataku, prawie niemożliwe jest skontaktowanie się z nimi wszystkimi, powiedział Leonard.

Websense powiedział najnowsze ataki Wygląda na to, że są powiązane z Gumblar, trwającą w zeszłym miesiącu kampanię szkodliwego oprogramowania. Gumblar spowodował, że co najmniej 3000 witryn internetowych zostało zainfekowanych złośliwym kodem, który skanował komputery użytkowników pod kątem luk w oprogramowaniu Adobe Systems.

Po przejściu na komputer Gumblar kradnie dane logowania do serwera FTP, wykorzystując te informacje, aby rozprzestrzenić się na inne komputery. To także polecenie dla przeglądarki użytkownika i zastępuje wyniki wyszukiwania Google innymi niebezpiecznymi linkami.