Duizenden websites gestoken door massac Hackingaanval

Er zijn tot 40.000 websites gehackt om onwetende slachtoffers om te leiden naar een andere website die probeert pc's te besmetten met kwaadaardige software, volgens beveiligingsleverancier Websense.

De getroffen sites zijn gehackt om JavaScript-code te hosten die mensen naar een valse Google Analytics-website leidt, die gegevens voor eigenaren van websites over het gebruik van een site biedt, en vervolgens naar een andere slechte site, zei Carl Leonard, onderzoeksmanager voor Websense bedreigen.

Die websites hebben waarschijnlijk gehackt via een SQL-injectie-aanval, waarbij onjuist geconfigureerde webtoepassingen kwaadaardige gegevens accepteren en gehackt worden, aldus Leonard.

[Meer informatie: hoe u malware van uw Windows-pc verwijdert]

Een andere mogelijkheid is dat de FTP c de redentials voor de sites zijn op de een of andere manier verkregen door hackers, waardoor ze toegang hebben tot de interne werking van de site. Het lijkt erop dat de hackers geautomatiseerde hulpmiddelen gebruiken om kwetsbare websites op te sporen, zei Leonard.

De nieuwste campagne onderstreept het succes van hackers bij het hosten van gevaarlijke code op slecht beveiligde websites.

Nadat een gebruiker is doorverwezen naar de nep Google Analytics-site, wordt het opnieuw omgeleid naar een ander kwaadaardig domein. Op die site wordt getest of de pc softwarelekken heeft in Microsofts Internet Explorer-browser of Firefox die kunnen worden uitgebuit om malware te leveren, aldus Leonard.

Als er geen probleem is, wordt er een nep-uitzending gestart waarschuwing dat de computer is geïnfecteerd met malware en probeert de gebruiker vrijwillig een programma te laten downloaden dat beweert beveiligingssoftware te zijn, maar eigenlijk een Trojan-downloader is, zei Leonard. Deze nepbeveiligingsprogramma's worden vaak "scareware" genoemd en werken niet zoals geadverteerd. Vanaf vrijdag konden slechts vier van 39 beveiligingssoftware die Trojan detecteren, hoewel dat waarschijnlijk is veranderd omdat leveranciers zoals Websense malware ruilen proef met andere bedrijven om de algehele internetbeveiliging te verbeteren.

Het is niet duidelijk wat de hackers doen met de nieuw gecompromitteerde pc's, hoewel het mogelijk is dat ze kunnen worden geconfigureerd om spam te verzenden, deel te gaan uitmaken van een botnet of gegevens te laten stelen van hen.

Het kwaadaardige domein dat de malware dient, wordt gehost in Oekraïne, dezelfde regio waar het beruchte Russian Business Network (RBN) opereerde. RBN is een bende van cybercriminelen die betrokken zijn bij phishing-campagnes en andere kwaadaardige activiteiten, zei Leonard. Die website bleek vanaf dinsdagmiddag niet beschikbaar. De RBN wordt nu geacht inactief te zijn.

"Of dit deel uitmaakt van die groep of dat het een copycat is met behulp van enkele van de technieken die vergelijkbaar zijn met die van de malwaregroep in het verleden, we zijn nog niet helemaal zeker, 'Zei Leonard. "Het is heel moeilijk om precies vast te stellen wat de mensen hierachter zijn."

Websense zei dat de laatste aanvallen niet mogelijk zijn om zoveel mogelijk websites te bereiken, zei Leonard. lijkt niet gerelateerd te zijn aan Gumblar, een malwarecampagne afgelopen maand. Gumblar heeft ertoe geleid dat minstens 3.000 websites zijn geïnfecteerd met schadelijke code die de computers van gebruikers hebben gescand op kwetsbaarheden in de Adobe Systems-software.

Eenmaal op een pc steelt Gumblar FTP-inlogreferenties en gebruikt deze informatie om te verspreiden naar andere computers. Het commando ook de iemands webbrowser en vervangt Google-zoekresultaten met andere gevaarlijke links.