Recent web site-ul prin care se executa atacuri, cunoscut sub numele de Gumblar si-a adaugat noi domenii care descarca malware pe computere. Aceasta se realizeaza prin furtul datelor de acces FTP pentru a compromite mai multe site-uri si falsifcand traficul Web.
Atacul Gumblar a inceput in luna martie, compromitand site-uri web si ascunzand cod de atac pe acestea. Initial, malware-le descarcate pe computerele care accesau acele site-uri compromise au provenit de pe domeniul gumblar.cn, un domeniu chinez asociat cu adrese IP rusesti si lituaniene, care livrau codul de pe servere din Marea Britanie, potrivit companiei de securitate ScanSafe.
Deoarece operatorii website-urilor le-au curatat, atacatorii au inlocuit codul malitios original cu JavaScript generat dinamic, facand dificila identificarea pentru tool-urile de securitate. Script-urile incearca sa exploateze vulnerabilitati din Adobe Acrobat Reader si Flash Player pentru a livra cod care injecteaza rezultate malitioase la cautari atunci cand un utilizator efectueaza o cautare Google pe Internet Explorer si care cauta drepturi de acces FTP ce pot fi utilizate pentru a compromite alte web site-uri.
Domeniul a fost schimbat pe martuz.cn inainte care ambele domenii sa fie inchise.
Acum malware-ul vine de pe site-uri ce includ pe langa altele liteautotop.cn si autobestwestern.cn, potrivit ScanSafe.
ScanSafe considera ca Gumblar este mai rau decat Conficker, un vierme care se raspandeste prin intermediul unei vulnerabilitati din Windows, prin dispozitive de stocare portabile si prin retea, acesta dezactivand software-le de securitate si instaland false software antivirus.
Gumblar, care este responsabil pentru 37% din totalul malware-lor blocate de ScanSafe in primele doua saptamani din mai, are un comportament mult mai intruziv – acesta intercepteaza si monitorizeaza traficul web, instaland de asemenea un troian crea fura nume utilizator si parole de pe computerele infectate, a precizat ScanSafe.
Cel mai eficient mod de a remedia o infectie este de a face o reformatare si instalare completa, potrivit ScanSafe. Parolele si detaliile de login care au fost stoacte sau utilizate pe masinile infectate ar trebui de asemenea schimbate.
Or vrea si hackerii sa se razbune pe firmele la care au fost angajati 🙂