Várias centenas de sites comprometidos, que à primeira vista não parecem ser maliciosos foram descobertos por pesquisadores da M86. Os sites - principalmente blogs e sites de pequenas empresas privadas que utilizam o Wordpress 3.2.1 e foram enviados como uma página HTML, que redireciona os usuários através de um iFrame oculto para uma página que hospeda o kit exploit Phoenix.
De acordo com a explicação dos pesquisadores, o conteúdo carregado pelo atacante não faz parte da página inicial, e não vai mostrar quando os usuários navegam por estes websites. Na verdade, o acesso a qualquer página relacionada a esses sites da plataforma WordPress que estejam comprometidos, (além da página de upload ), não irá infectar a máquina do usuário.
A abordagem referida, tem sido usada para burlar os filtros de spam e mecanismos de reputação URL, como o link para as páginas maliciosas que foram enviados aos usuários através de e-mails de spam, que fingem ser enviados por uma pessoa amiga e perguntar sobre um projeto de lei "estranha" e de grande porte. Uma vez que o usuário clica no link, ele é imediatamente redirecionado para a página maliciosa, que está hospedada em um domínio russo. O kit exploit automaticamente, identifica o User Agent da máquina do cliente e disponibiliza uma página Web personalizada.
O kit, em seguida, tenta explorar uma série de aplicativos como Microsoft Internet Explorer, Adobe PDF, Flash e Oracle Java e, se for bem sucedido, oferece uma variante do Trojan Cridex, especializado em roubo de informações.
Saiba Mais:
[1] M86 Security Labs http://labs.m86security.com/2012/01/...fine%E2%80%99/