Según una advertencia de Websense Security Labs, se ha descubierto que los sitios fueron inyectados con código ofuscado Javascript malicioso que lleva a un sitio con exploit activo.
La compañía descubrió que el sitio del exploit activo usa un nombre similar al fominio legítimo de Google Analytics (google-analytics.com).
Esto no está relacionado con el ataque Gumblar, dijo Websense.
Este ataque de inyección masivo no parece relacionado con Gumblar. La ubicación de la inyección, asi como el código decodificado en si, parece indicar una nueva campaña de inyección no relacionada.El sitio con el exploit ha sido sembrado con varios tipos diferentes de ataques dirigidos a vulnerabilidades de software no emparchadas. El malware que consigue cargarse en las máquinas Windows comprometidas está vinculado con aplicaciones de seguridad falsas (scareware/rogueware).
Los proveedores de malware se han inclunado crecientemente a lanzar ataques desde sitios Web legítimos, usando técnicas de inyección SQL para comprometer y secuestrar sitios de alto tráfico.
Según información de MessageLabs, cerca del 85% de los sitios Web bloqueados por alojar contenido maliciosos son dominios "bien establecidos" que existen desde hace un año o más.
Autor: Ryan Naraine
Fuente: Blogs ZDNet
No hay comentarios:
Publicar un comentario