Duizenden websites doelwit van drive-by download aanval
Gepubliceerd: Woensdag 12 november 2008
Auteur: Wilbert de Vries en Maarten Reijnders
Cybercriminelen hebben tussen 2.000 en 10.000 websites voorzien van boobytraps. Het gaat in de meeste gevallen om sites die draaien op een ASP engine.
Het is nog niet helemaal duidelijk hoe de hacks plaatsvinden, schrijft Aleks Gostev (senior virus analyst bij Kaspersky Lab) op Viruslist.com. Vermoedelijk maken de cybercriminelen gebruik van gestolen login-informatie voor de betreffende sites of van SQL-injectie.
De inbrekers voegen een Javascript-code toe aan de gehackte sites. Op het moment dat een internetter de gehackte site bezoekt, haalt de code malware van een server in China op. Deze exploits proberen enkele recent gepatchte lekken in Internet Explorer, Firefox, de Macromedia Flash Player en ActiveX te misbruiken. Als dat lukt wordt er een Trojaans paard geïnstalleerd op de pc van de bezoeker.
Het uiteindelijke doel van de cybercriminelen lijkt vooralsnog het stelen van login-gegevens voor World of Warcraft te zijn. Maar het achterdeurtje dat de trojan op de pc openzet, kan natuurlijk ook nog misbruikt worden voor het bemachtigen van andere gegevens of het installeren van spyware en dergelijke.
Kaspersky adviseert beheerders van sites met een ASP engine om te checken of er op één van hun pagina's een link staat die de volgende vorm heeft: [script src=http://******/h.js]. "Als je zo'n link vindt: verwijder 'm", schrijft Gostev. "Het gaat niet alleen om uw eigen veiligheid, maar ook om die van iedereen die uw site gebruikt."
Bron: Techworld
