Migliaia di siti Web bloccati da attacchi di hacker di massa

Fino a 40.000 siti Web sono stati compromessi per reindirizzare le vittime inconsapevoli a un altro sito Web che tenta di infettare PC con software dannoso, secondo il fornitore di sicurezza Websense.

I siti interessati sono stati violati per ospitare codice JavaScript che indirizza le persone a un falso sito Web di Google Analytics, che fornisce dati per i proprietari dei siti Web sull'utilizzo di un sito, quindi su un altro sito non valido, ha dichiarato Carl Leonard, responsabile delle ricerche sulle minacce per Websense.

Questi siti Web hanno probabilmente è stato violato tramite un attacco SQL injection, in cui applicazioni Web configurate in modo errato accettano dati dannosi e vengono violati, ha detto Leonard.

[Ulteriori letture: Come rimuovere malware dal PC Windows]

Un'altra possibilità è che l'FTP c le riduzioni per i siti sono state in qualche modo ottenute dagli hacker, dando loro accesso al funzionamento interno del sito. Sembra che gli hacker stiano utilizzando strumenti automatici per cercare siti Web vulnerabili, ha detto Leonard.

L'ultima campagna sottolinea il successo degli hacker nell'ospitare codice pericoloso su siti Web poco sicuri.

Una volta che un utente è stato indirizzato al falso sito di analisi Google, reindirizza nuovamente a un altro dominio dannoso. Quel sito verifica se il PC ha vulnerabilità del software nel browser Internet Explorer di Microsoft o in Firefox che possono essere sfruttate per fornire malware, ha detto Leonard.

Se non trova un problema lì, verrà lanciato un falso avvertendo che il computer è stato infettato da malware e cerca di indurre l'utente a scaricare volontariamente un programma che pretende di essere un software di sicurezza ma in realtà è un downloader per Trojan, ha detto Leonard. Questi falsi programmi di sicurezza sono spesso definiti "scareware" e non funzionano come pubblicizzato.

A partire da venerdì scorso, solo quattro dei 39 software di sicurezza in grado di rilevare quel Trojan, anche se ora è probabile che cambino quando i fornitori come Websense scambiano malware campioni con altre società al fine di migliorare la sicurezza globale di Internet.

Non è chiaro cosa stiano facendo gli hacker con i PC appena compromessi, anche se è possibile che possano essere configurati per inviare spam, diventare parte di una botnet o rubare dati da loro.

Il dominio dannoso che serve il malware è ospitato in Ucraina, la stessa regione in cui operava la famosissima Russian Business Network (RBN). RBN è una banda di criminali informatici coinvolti in campagne di phishing e altre attività dannose, ha detto Leonard. Quel sito Web sembrava non essere più disponibile a partire da martedì pomeriggio. La RBN si pensa che sia inattiva ora.

"Se questa è una parte di quel gruppo o se si tratta di un copione che utilizza alcune tecniche simili a quelle usate dal gruppo di malware in passato non siamo ancora certi ", Ha detto Leonard. "È molto difficile individuare esattamente le persone dietro a questo."

Dal momento che così tanti siti Web sono stati hackerati per consegnare l'attacco, è quasi impossibile contattarli tutti, ha detto Leonard.

Websense ha detto che gli ultimi attacchi don Sembra essere collegato a Gumblar, una campagna di malware in corso il mese scorso. Gumblar ha generato almeno 3.000 siti Web infetti da codice dannoso che ha analizzato i computer degli utenti per vulnerabilità nel software Adobe Systems.

Una volta su un PC, Gumblar ruba le credenziali di accesso FTP, utilizzando tali informazioni per aiutare la diffusione ad altri computer. Richiede anche il browser Web di una persona e sostituisce i risultati di ricerca di Google con altri collegamenti pericolosi.