Gorzej ni偶 Gumblar

Cyberprzest臋pcy zarazili oko艂o dwa tysi膮ce legalnie funkcjonuj膮cych stron internetowych z艂o艣liwym oprogramowaniem atakuj膮cym tych internaut贸w, kt贸rzy odwiedz膮 te witryny.

W odr贸偶nieniu od innych zakrojonych na szerok膮 skal臋 atak贸w, w tym przypadku cyberprzest臋pcy sami umie艣cili z艂o艣liwy kod na stronie. Co ciekawe, katalog i nazwa pliku z艂o艣liwego "艂adunku" s膮 w wi臋kszo艣ci przypadk贸w unikatowe i identyczne z plikiem ju偶 istniej膮cym na stronie.

Dzi臋ki temu zabiegowi wykrycie zagro偶enia przez webmaster贸w i programy zwalczaj膮ce malware staje si臋 niezwykle trudne.

We wcze艣niejszych przypadkach, takich jak np. sprawa Gumblara, na legalnie funkcjonuj膮cych stronach umieszczano odno艣niki, kt贸re "po cichu" przekierowywa艂y ruch internetowy na serwery przechowuj膮ce z艂o艣liwe oprogramowanie.

Tym razem nie wiadomo w jaki spos贸b dosz艂o do ataku. Podejrzewa si臋, 偶e dosz艂o do kradzie偶y hase艂 FTP z komputer贸w firm administruj膮cych serwisami.

Osoby, kt贸re nie艣wiadomie odwiedz膮 zainfekowane strony, nie zauwa偶膮 niczego nadzwyczajnego. W tym czasie skrypt PHP sprawdzi wersje Adobe Readera i Adobe Flasha i - je艣li nie s膮 to wersje zaktualizowane - b臋dzie stara膰 si臋 wykorzysta膰 istniej膮ce w nich luki. Je艣li aplikacje Adobe s膮 aktualne, malware sprawdzi, czy system Windows jest w pe艂ni zaktualizowany.

Na zaatakowanych maszynach instalowany jest backdoor pozwalaj膮cy na przej臋cie pe艂niej kontroli nad zaatakowanym komputerem.

殴r贸d艂o:
hacking.pl