Các chuyên gia bảo mật đã nhận thấy sự hồi sinh của Gumblar- tên của một đoạn mã độc được lây lan bởi sự tấn công vào một Website hợp pháp nhưng không bảo mật.
Trong tháng 5 , hàng ngàn các trang web bị tấn công để phục vụ một iframe, phương pháp này là mang nội dung của một Website này đến một Website khác. Iframe này được đưa đến máy chủ với tên miền “gumblar.cn”. Gumblar sau đó sẽ cố gắng khai thác máy tính của người dùng thông qua các lỗ hổng trong các sản phẩm phần mềm Adobe Systems như Flash hoặc Reader và sau đó phát tán mã độc.
Gumblar cũng đã thay đổi chiến thuật của nó. Theo IBM và ScanSafe ,thay vì lưu trữ các tải trọng độc hại trên một máy chủ từ xa, các hacker đã đưa mã độc vào các trang web bị điều khiển.Theo blog Internet Security Systems Frequency X của IBM, Gumblar đã được cập nhật để khai thác một trong những lỗ hổng gần đây trong các chương trình Reader và Acrobat của Adobe.
Các tin tặc biết rằng chỉ là vấn đề thời gian trước khi một domain độc hại bị ngăn chặn bởi một ISP. Tuy nhiên, theo IBM thì có một chiến thuật mới được thực hiện là tạo một cuộc tấn công phân tán và dự phòng, lây lan qua hàng ngàn trang web hợp pháp trên khắp thế giới.
IBM cho hay ,để tránh sự phát hiện, các mã độc được tải lên các trang web hợp pháp được điều chỉnh để phù hợp với cấu trúc tập tin hiện có của Website.Những mã độc này cũng bị trộn lẫn hay bị làm mờ đi để cố gắng tránh bị phát hiện.
IBM nói ,"Gumblar là sự tác động đã được tính toán, và đòn tấn công cuối cùng này của chúng là một minh chứng cho điều đó" .
Theo một bài đăng từ ScanSafe ,các hacker đứng sau Gumblar cũng đã tác động mạnh mẽ để tiêm mã độc iframe vào các diễn đàn. Điều này có nghĩa là mọi người trở thành nạn nhân của cuộc tấn công gọi là “drive-by attack”, nơi họ tiếp xúc với nội dung độc hại từ những nơi khác khi đến thăm một trang web hợp pháp.
Khi một máy tính bị nhiễm, Gumblar cũng tìm kiếm những FTP credential khác và sử dụng để tấn công các site khác. Nó chiếm trình duyệt Internet Explorer, thay thế kết quả tìm kiếm của Google bằng những trang web khác, và lợi dụng các liên kết giả để khai thác hình thức kinh doanh “pay-per-click”.
Vũ Hà
CTV UITnetwork
- 26/11/2009 17:14 - Tăng cường bảo mật bằng hệ thống phòng thủ đa lớp
- 25/11/2009 00:49 - Những con số ấn tượng từ báo cáo bảo mật năm 2009
- 08/11/2009 23:45 - Mạng xã hội đối mặt với đại dịch Phising
- 26/10/2009 22:14 - 10 "cái nhất" về bảo mật trong tháng 9
- 26/10/2009 10:56 - Cách hacker tìm thấy điểm yếu của bạn
- 26/10/2009 09:21 - Tấn công Phising và cách phòng tránh
- 21/10/2009 23:20 - Scareware – hiểm họa mới đang leo thang
- 19/10/2009 16:14 - Malware tồn tại trong máy tính dài hơn chúng ta ng…
- 11/10/2009 02:04 - Tạo user có full quyền administrator từ user thườn…
- 09/10/2009 00:19 - Hệ Thống Honeypot và Honeynet
