Beveiliger Symantec maakt die melding op de site van SecurityFocus. Door middel van een SQL-injectie laten de aanvallers websites verwijzen naar domeinen waar kwaadaardige Flashscripts draaien. Deze installeren een passwordlogger. Ook het SANS Internet Storm Centre en de Amerikaanse beveiligingsinstantie US-CERT maken melding van de exploit.

De aanvalscode komt hoogstwaarschijnlijk uit China, en wordt in ieder geval gehost op de domeinen paly0nlnie.com, wuqing17173.cn en woai117.cn en dota11.cn. Onderhand hebben meer dan 250.000 websites verwijzingen naar deze domeinen in zich.

Ook Nederlandse sites geïnjecteerd

Een google-search op die domeinen laat zien dat ook Nederlandse sites een link hebben naar een van de domeinen. In eerste instantie verwezen de links naar een JavaScript, maar dat is overgezet naar een .swf. De exploits zelf dragen namen als WIN%206,0,79,0ff en WIN%206,0,79,0ie, waarbij de laatste twee letters verwijzen naar FireFox en Internet Explorer.

De Trojan die bij een succesvolle aanval geïnstalleerd wordt, valt volgens beveiligingsconsulent Dancho Danchev nog alleszins mee. Het zou gaan om een relatief simpele passwordlogger, "en niet de nieuwste rootkits of malware die bankgegevens steelt", schrijft Danchev op zijn weblog. Wel moet bedacht worden dat de gebruikte Trojan lang niet door alle scanners wordt opgemerkt.

Het lek zit in ieder geval in de huidige distributie van Flash Player (9.0.124.0) en de versie daarvoor (9.0.115.0). Adobe laat in een eigen korte reactie weten zich bewust te zijn van het lek, en dat het bedrijf meer informatie aan het verzamelen is. Tot er een patch beschikbaar is, wordt geadviseerd om de genoemde domeinen te blokkeren.