Beveiligingsbedrijf ScanSafe heeft een nieuwe meerlaagse aanval ontdekt die zich steeds verder uitbreidt op het web en het op Google zoekresultaten en FTP-gegevens heeft voorzien. De aanval begint via een drive-by download, waarbij internetgebruikers met een ongepatchte Adobe Flash of Adobe Reader installatie besmet raken. Eenmaal actief op het systeem plaatst de malware zich in de browser en wijzigt de Google zoekresultaten.
Daarnaast verzamelt de malware FTP-gegevens, waarmee de website van het slachtoffer wordt geïnfecteerd. Zodoende groeit niet alleen het aantal slachtoffers, maar ook het aantal gecompromitteerde websites. Aangezien de exploits en malware van het domein gumblar.cn worden gedownload, spreekt men inmiddels over de "gumblar aanvallen".
Het hacken van websites om daar links naar kwaadaardige websites neer te zetten is niet nieuw, wat deze aanval anders maakt, is dat het aantal gehackte domeinen juist toe- in plaats van afneemt. Zodra een webmaster de eerste compromittering probeert te verwijderen of andere aanpassingen aan .htm, .php en .asp maakt, worden de kwaadaardige scripts opnieuw geïnjecteerd. Aangezien het script dynamisch gegenereerd en zwaar geobfusceerd is, maakt dit detectie extra lastig. Daardoor nam het aantal infecties van domeinen de afgelopen week met 188% toe. Ook in Nederland zijn er slachtoffers gemaakt.
Deze posting is gelocked. Reageren is niet meer mogelijk.