De aanval blijkt al sinds eind vorige aan de gang te zijn. Volgens Trend Micro en Websense zijn er inmiddels al meer dan 10.000 websites bij de aanval betrokken.

Verreweg de meeste betrokken sites zijn legitieme sites die geïnjecteerd zijn met een kwaadaardig iframe. Deze code stuurt de bezoeker door naar een andere server die vervolgens probeert de hacktool Mpack te installeren.

Mpack kan diverse soorten aanvallen uitvoeren, afhankelijk van de gebruikte browser en besturingssysteem. De toolkit misbruikt meerdere reeds gedichte lekken en kan worden misbruikt in combinatie met IE, Firefox en Opera.

Op de achtergrond installeert Mpack een keylogger en een Trojaans paard zodat de aanvallers de activiteiten van hun nietsvermoedende slachtoffer kunnen monitoren.

Hoewel de aanvallers diverse doelen wereldwijd hebben aangevallen, blijkt dat zo'n 80 procent van de geïnfecteerde websites in Italië wordt gehost. Trend Micro noemt de aanval intern gekscherend al 'Italian Job 3', refererend aan de gelijknamige films van Michael Caine.

Volgens Trend Micro zijn zelfs enkele websites van lokale Italiaanse overheden besmet. De meeste besmette sites worden gehost door een van de grootste hostingbedrijven in Italië. Bron: Techworld