Bij een grootschalige injectiecampagne hebben aanvallers een kwaadaardige redirect aan 40.000 webpagina's toegevoegd, die bezoekers doorstuurt naar andere gehackte websites die via social engineering kwaadaardige software proberen te installeren, zo meldt beveiligingsbedrijf Websense.

Volgens Websense is de aanval opvallend vanwege het gebruik van social engineering. Veel gehackte websites worden voorzien van drive-by downloads, die bezoekers met onveilige software automatisch via een exploit infecteren. In het geval van de nu ontdekte campagne wordt er een website geladen die bijvoorbeeld VLC Media Player aanbiedt en door de gebruiker zelf gedownload en geïnstalleerd moet worden. In werkelijkheid gaat het om kwaadaardige software.

Social engineering

De injectiecampagne wordt GWload genoemd, vanwege een verwijzing in de aangebrachte code op de gehackte websites, en valt samen met het oppakken van "Paunch", de auteur van de Blackhole-exploitkit. Dit was tot de aanhouding de meest gebruikte exploitkit op internet om gebruikers met onveilige software automatisch te infecteren. Mogelijk dat de criminelen achter de campagne vanwege de arrestatie van exploits op social engineering zijn overgestapt.

Daarnaast gebruikt de campagne een "end to end" infrastructuur van legitieme websites. Deze legitieme websites worden gehackt en bieden uiteindelijk de kwaadaardige software aan. Ook gebruiken de criminelen code om Adblockers te omzeilen en code die bepaalde content vergrendelt.

Hierdoor lijkt het alsof de gebruiker bijvoorbeeld een bepaald programma nodig heeft, zoals VLC Media Player, om de content te bekijken. In Nederland zouden 1600 pagina's door de aanvallers zijn getroffen, de meeste gehackte pagina's bevinden zich echter in de Verenigde Staten.