Tusenvis av nettsteder Stung by Mass Hacking Attack

Opptil 40 000 nettsteder har blitt hacket for å omdirigere uønskede ofre til et annet nettsted som forsøker å infisere PCer med skadelig programvare, ifølge sikkerhetsleverandøren Websense.

De berørte nettstedene er hacket for å være vert for JavaScript-kode som leder folk til et falskt Google Analytics-nettsted, som gir data for webområdeeiere på nettstedets bruk, og deretter til et annet dårlig nettsted, sa Carl Leonard, trusseledsider for Websense.

Disse nettstedene har sannsynligvis blitt hacket via et SQL-injeksjonsangrep, hvor ukorrekt konfigurerte webapplikasjoner godtar skadelige data og får hacket, sa Leonard.

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

En annen mulighet er at FTP c redensialer for nettstedene er på en eller annen måte blitt oppnådd av hackere, noe som gir dem tilgang til det indre arbeidet på nettstedet. Det ser ut som hackere bruker automatiserte verktøy for å finne ut av sårbare nettsteder, sier Leonard.

Den siste kampanjen understreker suksess hackere har på hosting farlig kode på dårlig sikrede nettsteder.

Når en bruker har blitt ledet til falsk Google Analytics-nettsted, omdirigerer det igjen til et annet skadelig domene. Det nettstedet tester for å se om PC-en har programvaresvikt i enten Microsofts Internet Explorer-nettleser eller Firefox som kan utnyttes for å levere skadelig programvare, sier Leonard.

Hvis det ikke finner et problem der, vil det starte en falsk advarsel sier at datamaskinen er infisert med skadelig programvare og prøver å få brukeren til å villig laste ned et program som viser seg å være sikkerhetsprogramvare, men egentlig er en trojansk nedlasting, sier Leonard. Disse falske sikkerhetsprogrammene kalles ofte "scareware" og fungerer ikke som annonsert.

Fra og med fredag ​​kunne bare fire av 39 sikkerhetsprogrammer oppdage at trojan, selv om det nå er sannsynligvis endret som leverandører som Websense bytte malware prøver med andre selskaper for å forbedre den totale Internett-sikkerheten.

Det er ikke klart hva hackere gjør med de nylig kompromitterte PCene, selv om det er mulig at de kan konfigureres for å sende spam, bli en del av en botnet eller få data stjålet fra dem.

Det ondsinnede domenet som serverer malware, er vert i Ukraina, samme region der det beryktede russiske bedriftsnettverket (RBN) drives. RBN er en gjeng med cyberkriminelle involvert i phishing-kampanjer og annen ondsinnet aktivitet, sa Leonard. Det nettstedet syntes å være nede på tirsdag ettermiddag. RBN er antatt å være inaktiv nå.

"Om dette er en del av den gruppen eller om det er en copycat ved hjelp av noen av de teknikkene som ligner dem som ble brukt av malware-gruppen i det siste, er vi ikke helt sikre ennå, Sier Leonard. «Det er svært vanskelig å finne ut nøyaktig folkene bak dette.» Siden så mange nettsteder har blitt hacket for å levere angrepet, er det nesten umulig å kontakte dem alle, sa Leonard.

Websense sa de siste angrepene ikke ser ut til å være relatert til Gumblar, en malware kampanje i gang i forrige måned. Gumblar resulterte i at minst 3000 nettsteder ble smittet med ondsinnet kode som skannet brukerens datamaskiner for sikkerhetsproblemer i Adobe Systems-programvaren.

Gumblar stjal FTP-påloggingsinformasjon ved å bruke denne informasjonen for å sprede seg til andre datamaskiner. Den kommandør også en persons nettleser og erstatter Googles søkeresultater med andre farlige koblinger.