Исследователи видят, как Gumblar атакует снова всплеск.

Исследователи по безопасности видят возрождение Gumblar, название фрагмента вредоносного кода, распространяющегося на основе компрометации законных, но небезопасных веб-сайтов.

В мае тысячи веб-сайтов оказались взломанными обслуживать iframe, что является способом доставки контента с одного веб-сайта в другой. IFrame привел к домену «gumblar.cn». Затем Gumblar попытается использовать ПК пользователя с помощью программных уязвимостей в продуктах Adobe Systems, таких как Flash или Reader, а затем доставить вредоносный код.

Теперь Gumblar изменила тактику. Вместо того, чтобы размещать вредоносную полезную нагрузку на удаленном сервере, хакеры теперь помещают этот код на скомпрометированные веб-сайты, говорят продавцы IBM и ScanSafe. Также появляется сообщение Gumblar было обновлено, чтобы использовать одну из последних уязвимостей в программах Adobe Reader и Acrobat, согласно блогу IBM Internet Security Systems Frequency X.

[Подробнее: Как удалить вредоносное ПО с вашего ПК с ОС Windows]

Хакеры знают, что это только вопрос времени, когда вредоносный домен закрывается провайдером. Однако новая тактика «дает им децентрализованный и избыточный вектор атаки, распространяемый на тысячи законных веб-сайтов по всему миру», - сказала IBM.

Чтобы избежать обнаружения, плохой код, загружаемый на законные веб-сайты, были сформированы в соответствии с «существующими файловыми структурами», - заявила IBM. Он также был взломан или запутан, чтобы попытаться избежать обнаружения.

«Gumblar - это сила, с которой нужно считаться, и этот последний толчок их является истинным свидетельством этого факта», - сказала IBM.

Хакеры Согласно сообщению блога из ScanSafe, Gumblar также принудительно вводит вредоносный iframe в форумы. Это означает, что люди становятся жертвами так называемой атаки на диск, где они мгновенно подвергаются вредоносному контенту из других мест при посещении законного сайта.

После заражения ПК Gumblar также ищет другие учетные данные FTP, которые он может использоваться для компрометации других веб-сайтов. Он также захватывает браузер Internet Explorer, заменяя результаты поиска Google на другие веб-сайты, которые, по мнению IBM, могут быть связаны с мошенничеством с оплатой за клик.