Nieuwe golf van "Gumblar" gehackte sites Installeert malware op basis van Google

Volgens een nieuw bedrijf dat webhacks kaapt, probeert het beveiligingsbedrijf ScanSafe kwaadaardige, op Google gerichte software te installeren op niet-gepatchte pc's, waardoor de drive-by-download-aanpak als een slechte wordt beschouwd -guy-tactiek naar keuze.

De aanval, genaamd "Gumblar" door ScanSafe, begint met het kapen van legitieme sites en het invoegen van aanvalscode. De meer dan 1.500 gehackte sites, waaronder Tennis.com en Variety.com, vertegenwoordigen geen bijzonder groot aantal, maar het groeit snel. Sinds vorige week is de aanval volgens het bedrijf met 80 procent gegroeid en sinds gisteren is deze met 188 procent toegenomen.

De ingevoegde aanvalscode probeert oude, niet-gepatchte kwetsbaarheden te identificeren op een pc met slachtoffers die een gehackte site doorzoekt, en zal misbruik maken van elk ontdekt gat om malware te installeren. Dit soort drive-by-download-aanvallen zijn stiekem en gevaarlijk, maar het goede nieuws is dat, terwijl de daadwerkelijke exploits variëren naarmate de tijd verstrijkt, het bedrijf zegt dat er nog niemand verdwenen is na zero-day holes die nog geen oplossing bieden beschikbaar.

[Meer informatie: Hoe malware van uw Windows-pc te verwijderen]

De aanvalscode is grotendeels verdwenen nadat PDF- en Flash-fouten in het afgelopen jaar zijn ontdekt (zoals APSA08-01 en APSB08-11), aan de woordvoerder van het bedrijf. Dergelijke aanvallen gaan meestal over browser-plug-ins die door software zijn geïnstalleerd en hoeven niet te worden geopend of gedownload, maar deze specifieke aanvallen kunnen grotendeels worden gecastreerd door ervoor te zorgen dat u over de nieuwste versies van de Adobe-software beschikt.

Een van de verklarende blogposts van ScanSafe beschrijft ook het gebruik van oude MDAC-exploits, dus zorg ervoor dat je ook up-to-date bent over Microsoft-updates. De aanpak met PDF-aanvallen is meer slecht nieuws voor Adobe, wiens programma's een laat doelwit zijn geworden.

Succesvolle aanvallen zullen proberen malware te installeren die Google-zoekresultatenpagina's manipuleert wanneer ze door Internet Explorer worden bekeken. Slachtoffers kunnen nepresultaten zien die hen naar wrede sites zullen leiden. Om zichzelf verder te verspreiden, probeert de malware ook FTP-aanmeldingen te stelen en alle websites te besmetten die worden beheerd door een geïnfecteerde pc.

Om te waken tegen deze aanval en andere schijf-voor-downloads, is elke automatische updatefunctie voor Windows en alle geïnstalleerde software is je beste vriend. Voor die apps die zo'n functie misschien niet bevatten, ben ik een fan van de Secunia PSI-software. Meer informatie over Gumblar vindt u in de Gumblar Q & A van ScanSafe.