Voor deze 'Nine Ball'-aanval waarschuwt beveiligingsbedrijf Websense. De besmette websites zijn op traditionele manieren te grazen genomen, zoals bots, gestolen inloggegevens en sql-injectie. Bezoekers worden doorgestuurd, alwaar allerhande malware binnen probeert te komen via bekende kwetsbaarheden in browsers, mediaplayers (zoals Quicktime) en Adobe-software. Bij succes wordt een trojan met keylogger naar het systeem gehaald.

Daarbij wordt bij het gewraakte domein, www.nine2rack.in (waar ook de naam Nine Ball vandaan komt) gecontroleerd of een url nieuw is of niet. Dat mechanisme moet het onderzoekers moeilijker maken om gegevens over de site te verzamelen, want ip-adressen die al eens langs zijn gekomen, stuurt de site door naar ask.com. Hoewel de url wijst naar een domein in India, staat de server volgens Websense waarschijnlijk in Oekraine.

De malware die op deze manier binnen komt is volgens Websense moeilijk te detecteren. Kennelijk zit er een generator achter de website die elk geupload stukje malware net iets verandert zodat antivirussoftware meer moeite heeft om het te detecteren. Bron: Techworld