In het geval van Apple gaat het om slechts twee webpagina's, die beide vallen onder iTunes-muziekwinkel en waar podcasts worden aangeprezen. Deze besmette pagina's zijn al wel opgeschoond, maar nog te identificeren via een Google-zoektocht naar de site die de malwarebron is. De besmetting van legitieme webpagina's maakt het mogelijk dat websurfers besmet raken zodra ze die site bezoeken.

Varianten afwisselen

De aanval op de websites probeert de injectiecode voor SQL-databases te verbergen in html-code. De specifieke aanval met nemohuildiin.ru als gelinkte malwarebron heeft ruim een half miljoen besmettingen opgeleverd, meldt de Britse ict-nieuwssite The Register. Inmiddels is het merendeel daarvan al opgeschoond; een Google-zoektocht levert nu nog slechts 155.000 besmette zoekresultaten op. De Russische bronsite bevat nog wel malware.

Een handvol varianten van deze aanval, met andere sites als malwarebron, heeft nog eens 500.000 slachtoffers geclaimd. De cybercriminelen achter deze aanhoudende aanval veranderen hun aanpak geregeld, zegt security-onderzoeker Mary Landesman van Cisco's beveiligingsdienst ScanSafe.

Veel van de besmette sites zijn de afgelopen maanden meerdere malen geïnfecteerd, hoewel het volgens haar niet duidelijk is of dat door dezelfde daders is of door concurrerende cybercriminelen.