Nytt angrep har smittet 40.000 nettsteder

Brukere som besøker dem risikerer å motta en ondsinnet trojaner.

19. juni 2009 - 13:56

Websense Security Labs melder at de siden 3. juni har sporet et nytt injiseringsangrep som har rammet mer enn 40 000 legitime nettsteder. Besøkende til et smittet nettsted omdirigeres til en serie andre nettsteder under angriperens kontroll, og risikerer til slutt å få installert en ondsinnet trojaner.

Websense har døpt angrepet «Nine-Ball» fordi det avgjørende angrepet mot brukeren gjennomføres av en ondsinnet tjeneste som kaller seg ninetoraq.in.

Nine-Ball starter som en ladning kodemos («obfuscated code») deponert på serveren til et legitimt nettsted. Kodemosen forvandles av en spesiell algoritme til en iframe, det vil si kode som oppretter en intern ramme på nettstedet. En iframe kan inneholde alle typiske elementer for en nettside. I dette tilfellet inneholder den en omdirigering til et annet nettsted.

De som besøker et infisert nettsted, omdirigeres gjennom flere ledd. Til slutt havner de på ninetoraq.in, der de risikerer å få en trojaner som fisker etter personlig informasjon og som kan motta oppdateringer fra dem som styrer den.

For at trojaneren installerer seg på den besøkendes pc, må den ha en av flere sårbarheter – altså kjente og utettede sikkerhetshull – som trojaneren er programmert til å utnytte. For å unngå å smittes, må man ha oppdatert Acrobat Reader og QuickTime – i den grad man har disse programmene – samt ha installert fiksen beskrevet i en Microsoft sikkerhetsbulletin fra april 2006. Følger man Windows Update, har man ikke denne sårbarheten. Ifølge Websense overføres smitten gjennom filer som antivirusverktøy sjelden avslører.

Websense har ikke villet oppgi navnene på de infiserte nettstedene, men sier at ingen av dem er spesielt kjente, utbredte eller populære.

Hvilken sårbarhet som angrepet bruker på serversiden, er ikke spesifisert. Det kan spekuleres i at det er en eller annen form for SQL-injisering.

Nine-Ball har flere fellestrekk med Gumblar, som smittet blant annet et femtitalls legitime norske nettsteder.

    Les også:

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.