Etter noen måneders hvile, avslører SQL Web Attack Spreads Anew

Et botnetnettverk av hackede datamaskiner har spratt tilbake til livet de siste dagene og begynte å infisere nettsider slik at de angriper PCer av intetanende besøkende.

Navngitt Asprox, etter at toolkitet brukes i angrepene hans, fikk dette nettverket oppmerksomhet i mai og juni da den infiserte estimert titusenvis av websider på mer enn 1000 webdomener, som vanligvis smitter nettsidene til små bedrifter, skoler og lokale myndigheter.

"Etter flere måneder uten bot, er denne botnet tilbake til sine gamle triks, "skrev Gary Warner, direktør for forskning i dataregner ved Universitetet i Alabama i Birmingham, i en torsdag bloggpost.

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

Sikkerhetsleverandør SecureWorks plukket opp på angrepet "for noen dager siden," da det oppdaget en uptick i såkalte SQL injeksjonsangrep mot selskapets kunder, ifølge Jason Milletary, en sikkerhetsforsker med selskapet. Det er imidlertid ikke klart om angrepene er like virulente som før, sa han.

I et SQL-injeksjonsangrep utnytter de kriminelle databaseprogrammeringsfeil for å lure nettsteder til å legge inn deres angrepskode. Med Asprox er denne SQL-injeksjonsprosessen automatisert, slik at den kan legge til malware på mange nettsteder på svært kort tid.

Asprox plasserer litt JavaScript-kode på det hackede nettstedet som genererer et usynlig HTML-element, kalt en iFrame, som igjen lanserer angrepskoden. Ifølge Warner utnytter i hvert fall noen eksempler av den nåværende Asprox-koden en feil i Adobe Flash Player.

Forskere med sikkerhetsvaktgruppens Shadowserver sier at de har sporet mer enn 2000 nettsider som har blitt infisert av dette siste Asprox-angrepet, langt færre nettsider enn angrepet med den første versjonen av skadelig programvare.

I et e-postintervju sa Shadowserver's Mike Johnson at Asprox-gjengen har revidert sin malware, endret konfigurasjonsfilstrukturen til koden sin og lagt til ny kommandoer og kontroll datamaskiner som de ikke har brukt tidligere. "Det ser nesten ut som om de begynner over fra grunnen etter å ha mistet kontrollen over det forrige botnetet," sa han.

Asprox er for øyeblikket ikke et stort problem for de fleste webbrukere, sier sikkerhetseksperter; Det er bare et annet tegn på de allvarlige farene på nettet.

"Folk bør vente på ondsinnede nettsteder," sa Johnson. "Folk bør forvente at uskyldige nettsteder blir kompromittert på en eller annen måte, form eller form som i sin tur forsøker å angripe nettleseren."