Mass Injection Compromete Mais de 20.000 Domínios

Através de informações dos pesquisadores de segurança da empresa californiana Armorize, uma falha banal por parte dos ciber atacantes foi a porta aberta para ocasionar um outro ataque de injeção em massa de iFrames maliciosos, que está atualmente em curso. De início, os invasores esqueceram de incluir uma tag antes do real código malicioso e isso permitiu que fosse indexado pelo Google. Dessa forma, a vulnerabilidade foi facilmente descoberta pelos pesquisadores.

A quantidade inicial de domínios comprometidos pelo ataque foi de cerca de 22.400, com um total de mais de 536.000 páginas infectadas. Infelizmente, os atacantes sanaram esse erro e o script injetado não está mais visível através do Google. Devido a esse fato, o número atual de páginas infectadas é desconhecido.

O script conduz as vítimas através de uma série de sites de redirecionamento, até chegar em uma página onde um script de download (drive-by) é oferecido por uma versão modificada do pacote de exploit BlackHole. O exploit pack se aproveita de vulnerabilidades no sistema operacional Windows, vulnerabilidades no Java, no Adobe Reader e no Flash Player para instalar uma solução anti-vírus falsa no computador das vítimas.

A partir dessas ações, a solução falsa muda seu nome dependendo do sistema operacional que encontra no computador de destino. Ele é "XP Security 2012" no Windows XP, "Vista Antivirus 2012" no Windows Vista, e "Win 7 Antivirus 2012" no Windows 7. De acordo com relatos dos pesquisadores, os domínios do redirecionamento estão hospedados na Moldávia, e os exploit servers nos Estados Unidos.


Saiba Mais:

[1] Armorize Security http://armorize.com/index.php?link_id=articles
[2] Mass Injection Attack Compromised 20.000+ Domains http://www.net-security.org/secworld.php?id=11481