Penyelidik Lihat Gumblar Attacks Surge Again

Penyelidik keselamatan melihat kebangkitan semula Gumblar, nama untuk sekeping kod jahat yang tersebar dengan mengorbankan laman web yang sah tetapi tidak selamat.

Pada bulan Mei, beribu-ribu laman web didapati telah digodam menyampaikan iframe, yang merupakan satu cara untuk membawa kandungan dari satu laman web ke laman web lain. Iframe membawa kepada domain "gumblar.cn". Gumblar kemudian akan cuba mengeksploitasi PC pengguna melalui kelemahan perisian dalam produk Adobe Systems seperti Flash atau Reader dan kemudian menyampaikan kod jahat.

Gumblar juga telah mengubah taktiknya. Daripada menganjurkan muatan jahat pada pelayan jauh, penggodam kini meletakkan kod tersebut pada laman web yang dikompromikan, vendor IBM dan ScanSafe. Ia juga muncul Gumblar telah dikemaskini untuk menggunakan salah satu kelemahan yang lebih baru dalam program Adobe Reader dan Acrobat, menurut blog Frekuensi Sistem Keselamatan IBM IBM X.

[Bacaan lanjut: Bagaimana untuk menghapuskan malware dari Windows PC Anda]

Peretas tahu bahawa hanya masalah waktu sebelum domain jahat dimatikan oleh ISP. Namun, taktik baru itu memberi mereka vektor serangan yang terdesentralisasi dan berlebihan, menyebarkan ribuan laman web yang sah di seluruh dunia, "kata IBM.

Untuk membantu mengelakkan pengesanan, kod buruk yang dimuat naik ke laman web yang sah telah telah dibentuk untuk dipadankan dengan "struktur fail sedia ada," kata IBM.

"Gumblar adalah satu kekuatan yang harus diperhitungkan, dan dorongan terbaru mereka adalah bukti yang benar untuk fakta itu," kata IBM.

Para penggodam di belakang Gumblar juga telah diambil untuk secara paksa menyuntik iframe yang berniat jahat ke dalam forum, menurut catatan blog dari ScanSafe. Ini bermakna orang menjadi mangsa kepada serangan yang dipanggil oleh serangan, di mana mereka secara langsung terdedah kepada kandungan berniat jahat dari tempat lain ketika melawat tapak yang sah.

Sekali PC dijangkiti, Gumblar juga mencari kredensial FTP yang lain bahawa ia boleh digunakan untuk menjejaskan laman web yang lain. Ia juga merampas pelayar Internet Explorer, menggantikan keputusan carian Google dengan laman-laman web lain, yang difikirkan IBM mungkin berkaitan dengan penipuan "bayar per klik".