Tuhansia verkkosivustoja masentanut murhata hyökkäys

Enintään 40 000 verkkosivustoa on hakkeroitu ohjata tahattomia uhreja toiselle verkkosivustolle, joka yrittää tartuttaa tietokoneita haitallisilla ohjelmilla tietoturvamyyjän Websense-sivuston mukaan.

Sivustot on hakattu hallita JavaScript-koodia, joka ohjaa ihmisiä väärennettyyn Google Analytics -Web-sivustoon, joka antaa tietoja sivuston omistajille sivuston käytöstä ja sitten toiselle pahalle sivustolle, kertoi Websensen uhkautumisen tutkimusyksikkö Carl Leonard.

Nämä verkkosivustot ovat

[Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneelta]

Toinen mahdollisuus on se, että FTP-palvelimella, FTP: llä C hakkerit ovat saaneet jonkin verran sivustoja, jotka antavat heille pääsyn sivuston sisäisiin toimintoihin.

Viimeisimmässä kampanjassa korostetaan, että menestys hakkereilla on vaarallisen koodin ylläpitämisessä huonosti suojatuilla verkkosivuilla.

Kun käyttäjä on ohjattu käyttäjälle, hänelle on ilmoitettu, että hakkerit käyttävät automaattisia työkaluja etsimään haavoittuvia verkkosivustoja. väärennetty Google Analytics-sivusto, se ohjataan uudelleen toiseen haittaohjelmaan. Tämä sivusto testaa, onko tietokoneella haavoittuvia ohjelmia joko Microsoftin Internet Explorer -selaimessa tai Firefoxissa, jota voidaan hyödyntää haittaohjelmien toimittamiseksi, Leonard sanoi.

Jos se ei löydä ongelmaa, se käynnistää fake varoitus siitä, että tietokone on haittaohjelmien saastuttamana ja yrittää saada käyttäjän vapaaehtoisesti lataamaan ohjelmiston, joka pyrkii olemaan tietoturvaohjelmisto mutta joka on itse asiassa troijalainen lataaja, Leonard sanoi. Nämä väärennetyt suojausohjelmat kutsutaan usein "scareware" -ohjelmiksi, eivätkä ne toimi mainostettuna.

Viime perjantaina vain neljä 39: n tietoturvaohjelmistosta saattoi havaita tämän Trojanin, vaikka se todennäköisesti muuttui toimittajina, kuten Websense-swap-haittaohjelmina näytteet muiden yritysten kanssa yleisen tietoturvan parantamiseksi

Ei ole selvää, mitä hakkerit tekevät hiljattain vaarantuneiden tietokoneiden kanssa, vaikka on mahdollista, että heidät voidaan konfiguroida lähettämään roskapostia, osaksi botnetia tai tietojen varastamista heitä.

Haittaohjelmia palveleva haitta-alue on isännöimä Ukrainassa, samalla alueella, jossa tunnettu RBN (Russian Business Network) on toiminut. RBN on hyökkäyskampanjoihin ja muihin haittaohjelmiin osallistuvien tietoverkkorikollisten jengi, Leonard sanoi. Tämä sivusto tuntui olevan tiistaina iltapäivällä. RBN: n katsotaan olevan epäaktiivinen nyt.

"Onko tämä osa kyseisestä ryhmästä vai onko kyseessä kopiokone, jossa käytetään joitain tekniikoita, jotka ovat samanlaisia ​​kuin haittaohjelmaryhmän aiemmin käyttämät tekniikat, emme ole vielä täysin varma, "Leonard sanoi. "On hyvin vaikea tunnistaa tarkkoja ihmisiä tämän takana."

Koska niin monta Web-sivustoa on hakkeroitu toimittamaan hyökkäys, on lähes mahdotonta ottaa heihin yhteyttä, Leonard sanoi.

Websense sanoi uusimmat hyökkäykset Näyttää siltä, ​​että se liittyy viime kuussa meneillään olevaan Gumblar-haittaohjelmakampanjaan. Gumblar johti vähintään 3 000 verkkosivustosta, jotka saivat haitallisen koodin, joka skannatti käyttäjän tietokoneita Adobe Systems -ohjelmiston heikkouksien varalta.

Gumblar varastaa tietokoneen FTP-kirjautumistiedot, joiden avulla nämä tiedot levittävät toisiin tietokoneisiin. Se myös käskee henkilön selaimen ja korvaa Googlen hakutulokset muilla vaarallisilla linkillä.