Cybercriminelen bestoken websites de afgelopen dagen met een groot aantal sql-injecties, dat meldt beveiligingsbedrijf Websense. Inmiddels zijn ruim 380.000 websites besmet door de aanval, dinsdag stond de teller nog op 28.000. Het aantal besmette pagina’s groeit nog steeds.

Een sql-lek kan ontstaan als de gebruikersinvoer niet wordt gecontroleerd op ongewenste code. Door een extra sql-commando in een invulveld zoals gebruikersnaam in te voeren, kunnen alle sql-commando’s worden uitgevoerd. In dit geval wordt er zo code aan het cms van de pagina toegevoegd.

Besmette sites eenvoudig te vinden

Websense ontdekte de aanval dinsdag voor het eerst. “Wij monitoren de aanval sinds die uitkwam”, zegt onderzoeksmanager Carl Leonard van dat bedrijf. “Het aantal websites dat gecompromitteerd is, groeit nog steeds."

De getroffen sites zijn eenvoudig op te sporen door te zoeken naar een regel JavaScript die de aanvallers in een webpagina plaatsen. Dat JavaScript staat op een website met de naam Liza Moon. Die website is opvallend genoeg niet te bereiken op dit moment. Eerder deze week werden de bezoekers van alle besmette websites doorgestuurd naar een verkoper van nep antivirusproducten.

Hackers doen nog niets

Omdat de domeinnaam waar het JavaScript geplaatst staat momenteel niet te bereiken is, kunnen de hackers niet zoveel doen met de door hen besmette websites. Ook de afgelopen dagen hebben de aanvallers volgens Websense nog niet veel kwaads met het script gedaan.

Inmiddels zijn er ook websites verschenen met hetzelfde script maar dan geplaatst op een andere locatie. Leonard legt uit dat al die sites momenteel nog inactief zijn maar dat ze ieder moment weer ingeschakeld kunnen worden. “We kunnen alleen maar speculeren over waar de slechteriken op wachten”, zegt de beveiligingsexpert.

Simyo en iTunes ook besmet

Onder de bijna 400 duizend websites die besmet zijn, zitten ook enkele grote namen. De Nederlandse telecomaanbieder Simyo is bijvoorbeeld getroffen door de aanval. Ook zijn verschillende url’s van iTunes geïnfecteerd met het JavaScript. Omdat het systeem van Apple deze code niet uitvoert, zijn de gebruikers van iTunes niet in gevaar.