Ribuan Situs Web Tersengat Serangan Massa Peretasan

Hingga 40.000 situs web diretas untuk mengalihkan korban yang tidak disengaja ke situs Web lain yang mencoba menginfeksi PC dengan perangkat lunak berbahaya, menurut vendor keamanan Websense.

Situs yang terpengaruh telah diretas untuk meng-host kode JavaScript yang mengarahkan orang ke situs web Google Analytics palsu, yang menyediakan data untuk pemilik situs web pada penggunaan situs, lalu ke situs lain yang buruk, kata Carl Leonard, manajer penelitian ancaman untuk Websense.

Situs Web tersebut memiliki kemungkinan diretas melalui serangan injeksi SQL, di mana aplikasi Web yang tidak dikonfigurasi dengan benar menerima data berbahaya dan diretas, kata Leonard.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Kemungkinan lainnya adalah bahwa FTP c redentials untuk situs entah bagaimana telah diperoleh oleh peretas, memberi mereka akses ke pekerjaan bagian dalam situs. Tampaknya para peretas menggunakan alat otomatis untuk mencari situs Web yang rentan, kata Leonard.

Kampanye terbaru menggarisbawahi para peretas sukses memiliki hosting kode berbahaya di situs Web yang kurang aman.

Setelah pengguna diarahkan ke situs Google analytics palsu, itu mengalihkan lagi ke domain jahat lain. Situs itu menguji untuk melihat apakah PC memiliki kerentanan perangkat lunak di browser Internet Explorer Microsoft atau Firefox yang dapat dieksploitasi untuk mengirim malware, kata Leonard.

Jika tidak menemukan masalah di sana, itu akan meluncurkan Peringatan mengatakan komputer terinfeksi dengan malware dan mencoba untuk mendapatkan pengguna untuk mengunduh program yang mengaku sebagai perangkat lunak keamanan tetapi sebenarnya adalah pengunduh Trojan, kata Leonard. Program keamanan palsu itu sering disebut "scareware" dan tidak berfungsi seperti yang diiklankan.

Pada Jumat lalu, hanya empat dari 39 program perangkat lunak keamanan yang dapat mendeteksi Trojan itu, meskipun itu sekarang mungkin berubah karena vendor seperti malware Websense swap sampel dengan perusahaan lain untuk meningkatkan keamanan Internet secara keseluruhan.

Tidak jelas apa yang dilakukan peretas dengan PC yang baru dikompromikan, meskipun mungkin mereka dapat dikonfigurasi untuk mengirim spam, menjadi bagian dari botnet atau memiliki data yang dicuri dari mereka.

Domain jahat yang melayani malware ini dihosting di Ukraina, wilayah yang sama dengan Jaringan Bisnis Rusia (RBN) yang terkenal. RBN adalah geng penjahat dunia maya yang terlibat dalam kampanye phising dan aktivitas jahat lainnya, kata Leonard. Situs Web itu nampaknya turun pada Selasa siang. RBN dianggap tidak aktif sekarang.

"Apakah ini adalah bagian dari grup itu atau apakah itu peniru menggunakan beberapa teknik yang mirip dengan yang digunakan oleh kelompok malware di masa lalu, kami belum cukup yakin, "Kata Leonard. "Sangat sulit untuk menentukan orang yang tepat di balik ini."

Karena begitu banyak situs web diretas untuk mengirim serangan, hampir tidak mungkin untuk menghubungi mereka semua, Leonard berkata.

Websense mengatakan serangan terbaru tidak tampaknya terkait dengan Gumblar, sebuah kampanye malware yang berlangsung bulan lalu. Gumblar mengakibatkan setidaknya 3.000 situs web terinfeksi dengan kode berbahaya yang memindai komputer pengguna untuk kerentanan dalam perangkat lunak Adobe Systems.

Setelah menggunakan PC, Gumblar mencuri kredensial masuk FTP, menggunakan informasi tersebut untuk membantu menyebar ke komputer lain.. Ini juga memerintahkan browser Web seseorang dan menggantikan hasil pencarian Google dengan tautan berbahaya lainnya.