Webaanval die vergiftigingen Google-resultaten wordt slechter

Een nieuwe aanval die de zoekresultaten van Google versnelt met kwaadaardige links verspreidt zich snel, het Amerikaanse Computer Emergence Response Team waarschuwde maandag.

De aanval, die de laatste dagen is geïntensiveerd, is te vinden op enkele duizenden legitieme websites, volgens voor veiligheidsexperts. Het richt zich op bekende tekortkomingen in de software van Adobe en gebruikt deze om een ​​kwaadaardig programma op de machines van slachtoffers te installeren, aldus CERT.

Het programma steelt vervolgens FTP-aanmeldingsreferenties van slachtoffers en gebruikt die informatie om verder te verspreiden. Het kaping ook de browser van het slachtoffer en vervangt Google-zoekresultaten door koppelingen die door de aanvallers zijn gekozen.

[Meer informatie: hoe u malware van uw Windows-pc verwijdert]

Beveiligingsdeskundigen begonnen de aanval te volgen in maart, toen deze was geïnfecteerd honderden websites, maar de afgelopen weken is het aantal geïnfecteerde sites dramatisch gestegen. De aanval is Gumblar genoemd omdat het op een gegeven moment het Gumblar.cn-domein gebruikte, maar op maandag was het overgeschakeld naar een andere.

Beveiligingsleverancier ScanSafe heeft meer dan 3.000 geïnfecteerde websites geteld, vanaf ongeveer 800 net over een week geleden.

Dat soort aanhoudende groei is ongebruikelijk, volgens Mary Landesman, een senior security-onderzoeker bij ScanSafe. Aanvallers hebben de afgelopen jaren veel wijdverspreide webaanvallen gepleegd, maar na een paar maanden daalt het totale aantal geïnfecteerde sites gewoonlijk naarmate Webmasters hun servers opschonen.

Met Gumblar worden steeds meer sites geïnfecteerd. Landesman gelooft dat het komt omdat de makers van Gumblar goed zijn in het versimpelen van hun aanvalscode en het moeilijker maken om op geïnfecteerde sites te herkennen. En omdat ze FTP-aanmeldingsreferenties hebben gestolen, hebben ze een paar nieuwe trucs kunnen gebruiken om hun software op de sites te krijgen. "Ze doen dingen als het wijzigen van maprechten … en laten meerdere manieren achter waarop ze terug kunnen komen op de server," zei ze.

Webaanvallen zijn echter zo wijdverspreid dat Gumblar een relatief kleinschalig fenomeen blijft, volgens Symantec Security Response Product Manager John Harrison. Vorig jaar telde Symantec 18 miljoen online aanvallen op zijn klanten. Met Gumblar heeft het 10.000 geteld. "Het is echt een nieuwe dag met drive-by downloads," zei hij. "Er zijn er echt zoveel." Beveiligingsdeskundigen zeggen dat als u een volledig gepatcht systeem met up-to-date beveiligingssoftware gebruikt, u beschermd moet zijn tegen deze aanvallen. Tot nu toe werkten ze door het slachtoffer te raken met schadelijke PDF- of Flash-bestanden.