De getroffen blogs draaien allemaal versie 3.2.1 van Wordpress, die versie van het blogplatform kwam in juli uit. De nieuwste Wordpress-versie is 3.3.1. Aanvallers weten misbruik te maken een kwetsbaarheid in de verouderde Wordpress-versie, waardoor ze een html-bestand kunnen plaatsen in de standaard uploadmap van de blogsoftware.

Het html-bestand van de aanvaller bevat een iframe (inline frame) dat een Russische pagina toont, zo blijkt uit een analyse van beveiligingsbedrijf M86 security labs. De inhoud van het html-bestand is niet zichtbaar op de voorpagina van het blog. De links worden waarschijnlijk gebruikt om spamfilters en andere beveiligingsmechanismen te omzeilen.

Malware gedownload

De Russische pagina gebruikt de user agent om de browser en het besturingssysteem van het slachtoffer te herkennen. Op basis van die gegevens wordt gebruik gemaakt van verschillende exploits voor lekken. De aanvaller probeert gebruik te maken van diverse kwetsbaarheden in Internet Explorer, Adobe PDF, Flash en Java. Daaronder is de beruchte Java Rhino-kwetsbaarheid.

Volgens onderzoekers van beveiligingsbedrijf Websense wordt bij slachtoffers ook geprobeerd de TDSS-rootkit te installeren. Deze geavanceerde rootkit neemt de computer volledig in zijn greep en plaatst hem in een botnet.

Niet op Chrome

Beveiligingsbedrijf M86 had inzage in het controlepaneel van de Phoenix Exploit Kit, die volgens het beveiligingsbedrijf wordt gebruikt voor de infectie. M86 concludeert dat er geen enkele infectie plaatsvond bij gebruikers van Google Chrome. In het script van de aanvalspagina troffen de onderzoekers een specifieke uitzondering aan voor Google Chrome. Op het moment dat er bezoekers met Chrome langskomen vindt er geen infectie plaats. Waarom dat is kon M86 niet ontdekken