Internet Hit by LizaMoon SQL Injection Attack; asentaa vakooja Windows Vakautuskeskus

Tietoturvayritys Web Sense on löytänyt SQL-ruiskutushyökkäyksen, joka ohjaa käyttäjää asentaa väärennetyn tietoturvaohjelmiston Windows Stability Center . Löydettyjen sivustojen määrä löytöhetkellä oli noin 28 000 ja hyökkäys on nyt vaikuttanut enemmän kuin 500 000 verkkosivustoa, mikä tarkoittaa, että hyökkäys liikkuu hälyttävän nopeasti.

Kuten totesi, hyökkäys perustuu SQL-ruiskutusmenetelmä, joka hyödyntää huonosti koodattuja sovelluksia. Threapost.comin mukaan

Tässä tapauksessa SQL-injektio-iskuja käytettiin vahingollisen koodin lisäämiseksi takaisin tietokantaan, joka palvottiin sitten epäuskoa käyttäville käyttäjille. Hyökkäys kutsuttiin "LizaMoon" tunnustuksena vahingollisesta Web-verkkotunnuksesta, joka on rekisteröity juuri ennen hyökkäyksiä, ja jota on käytetty paljastamaan haitallisia linkkejä. Tämä verkkotunnus oli offline-tilassa tämän raportin jättöhetkellä, mutta muutamat muut verkkotunnukset peittävät hyökkäyksen.

Käyttäjät, jotka napsauttavat linkkiä verkkosivustolle, joka on vaarantunut ja haitallisella koodilla, PHP tiedostoa siirretään käyttäjän tietokoneelle, joka ohjaa selaimen Web-sivustoon, joka asentaa Windowsin vakausyksikön tunnetun väärennetyn virustentorjuntaohjelman.

Tämä video kertoo kuinka hyökkäys toimii.

States Web Sense :

LizaMoon-massan injektio kampanja on edelleen käynnissä ja yli 500 000 sivua käsittelee skripti linkin lizamoon.com-sivustoon alustavien Google-hakutulosten mukaan.

Olemme myös pystyneet tunnistamaan useita muita URL-osoitteita, jotka on pistetty täsmälleen samalla tavalla, joten hyökkäys on jopa suurempi kuin alunperin ajateltiin. Kaiken kaikkiaan Google-haku tuottaa yli 1 500 000 tulosta, joilla on linkki samaan URL-rakenteeseen kuin alkuperäinen hyökkäys. Googlen hakutulokset eivät aina ole suuria indikaattoreita siitä, kuinka yleinen tai laaja hyökkäys on, koska se laskee jokaisen yksittäisen URL-osoitteen tai sivun, ei verkkotunnuksen tai sivuston, mutta antaa joitakin viitteitä ongelman laajuudesta, jos tarkastellaan, miten numerot siirtyy ylös tai alas ajan myötä.

Hyökkäys vaikuttaa myös paljon iTunes-sivustoihin, mutta komentotunnisteiden koodaaminen ei onnistu.

Joten jos vierailet sivustolla ja saat ohjattua tietoturvaohjelmistosivustolla, on todennäköistä, että sivusto, jota käytit, on vaarantunut. Mitä voit tehdä suojellaksesi itseänne on lähellä verkkosivun ikkunaa ja skannata tietokoneesi tunnetulla virustorjunta-ratkaisulla, kuten Microsoft Security Essentials.