Onderzoekers van beveiligingsbedrijf Armorize stellen dat duizenden sites op Microsoft´s ASP.net-platform het slachtoffer zijn van een massale sql-injectie. De hackers maken gebruik van beveiligingslekken in onder meer Java en Adobe Flash om malware te installeren.

512.000 sites

Via de sql-injectie wordt een malwarecode in de websites verweven. De geïnjecteerde code stuurt bezoekers van de sites door naar een iframe op een Indiase site en vervolgens door naar .rr.nu.-domein Deze sites infecteren de bezoekers ongemerkt met malware.

Uit een zoekopdracht van de onderzoekers twee weken geleden bleken 180.000 ASP- en ASP.net websites geïnfecteerd. Een nieuwe zoekopdracht op het script toont op moment van schrijven 512.000 resultaten, waaronder 4.380 sites uit Nederland.

Verouderde browsers

Alleen gebruikers van verouderde browsers zonder de laatste Java-, AdobePDF- en Adobe Flash versies zijn volgens de onderzoekers kwetsbaar. Daarnaast moet de standaardtaal van de browsers zijn ingesteld op Engels, Frans, Duits, Italiaans, Pools of Bretons.

De onderzoekers geven aan dat één van de sites uit Rusland afkomstig is. De andere bevindt zich in Amerika en wordt gehost door HostForWeb.com. De onderzoekers stellen verder dat slechts 6 van de 41 antivirusprogramma´s de malware ontdekt. AntiVir, ByteHero, Fortinet, Jiangmin, McAfee and McAfee-GW-Edition pikken de malware op. De beveiligers baseren dit aantal op een analyse van VirusTotal, een dienst voor het analyseren van virussen.

Liza Moon

De hack heeft mogelijk een connectie met een sql-aanval van begin dit jaar die bekend staat onder de naam Liza Moon. De sites die daarbij werden gebruikt stonden eveneens geregistreerd op de nepnaam 'James Northone', geeft beveiliginssite SC Magazine aan.

In april voerden cybercriminelen een massale sql-injectie uit waarbij 2,9 miljoen websites geïnfecteerd werden. De code stuurde bezoekers van getroffen sites door naar verkoopsites van nep-antivirusproducten.