Para Peneliti Melihat Serangan Gumblar Kembali Lagi

Peneliti keamanan melihat kebangkitan Gumblar, nama untuk sepotong kode berbahaya yang disebarkan dengan mengorbankan situs web yang sah namun tidak aman.

Pada bulan Mei, ribuan situs web ditemukan diretas untuk melayani iframe, yang merupakan cara untuk membawa konten dari satu situs ke situs lain. Iframe mengarah ke domain "gumblar.cn". Gumblar kemudian akan mencoba untuk mengeksploitasi PC pengguna melalui kerentanan perangkat lunak dalam produk Adobe Systems seperti Flash atau Reader dan kemudian mengirimkan kode berbahaya.

Gumblar juga telah mengubah taktiknya. Daripada hosting payload jahat di server jauh, para peretas sekarang menempatkan kode itu di situs Web yang dikompromikan, vendor IBM dan ScanSafe mengatakan. Tampaknya Gumblar juga telah diperbarui untuk menggunakan salah satu kerentanan terbaru dalam program Adobe Reader dan Acrobat, menurut blog IBM Internet Systems X Frekuensi.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Para peretas tahu bahwa hanya masalah waktu sebelum domain jahat dimatikan oleh ISP. Taktik baru, bagaimanapun, "memberi mereka vektor serangan terdesentralisasi dan berlebihan, tersebar di ribuan situs web yang sah di seluruh dunia," kata IBM.

Untuk membantu menghindari deteksi, kode buruk yang diunggah ke situs web sah memiliki telah dibentuk untuk mencocokkan "struktur file yang ada," kata IBM. Ini juga telah diacak atau dikaburkan untuk mencoba dan menghindari deteksi.

"Gumblar adalah kekuatan yang harus diperhitungkan, dan dorongan terbaru mereka adalah bukti nyata untuk fakta itu," kata IBM.

Para peretas di belakang Gumblar juga telah secara paksa menyuntikkan iframe yang berbahaya ke dalam forum, menurut posting blog dari ScanSafe. Ini berarti bahwa orang menjadi korban dari apa yang disebut serangan drive-by, di mana mereka langsung terpapar dengan konten berbahaya dari tempat lain ketika mengunjungi situs yang sah.

Setelah PC terinfeksi, Gumblar juga mencari kredensial FTP lainnya yang dapat digunakan untuk berkompromi dengan situs web lain. Ini juga membajak browser Internet Explorer, menggantikan hasil pencarian Google dengan orang-orang dari situs Web lain, yang menurut saya mungkin terhubung dengan penipuan "bayar per klik".