Computerworld News Service: Flere hundrede hjemmesider med pornografisk indhold angriber uvidende brugere ved hjælp af Mpack, den berygtede værktøjskasse til hackere, som allerede er blevet brugt i flere omfattende domæne-angreb.
Trend Micro har udpeget næsten 200 domæner med pornografisk indhold, hvoraf hovedparten indeholder pornografiske billeder af børn, som enten er blevet hacket eller ubemærket sender brugeren videre til servere, der hoster Mpack.
”Selvom der er langt færre pornosider i denne, nyopdagede smitte-kæde end i sidste mandags angreb, som siden er blevet døbt "The Italian Job", fordi flertallet af de over 10.000 smittede hjemmesider har italienske officielle domæner, er hackerne alligevel lykkedes i at smitte dobbelt så mange brugeres private pc’er,” meddeler Trend Micro på virksomhedens blog om farligt software.
Blandt andre Symantec har undersøgt en mængde Mpack-baserede angreb og forsøger blandt andet at regne ud, hvad der gør angreb baseret på Mpacks værkstøjer så effektive.
"Mpack-banden bruger tilsyneladende et IFRAME administrationsredskab til at automatisere opgaver på en stor skala,” siger Amado Hidalgo, der er sikkerhedsanalytiker hos Symantec.
Redskabet, som Amado Hidalgo mener er baseret på en FTP updater, der bruger MySQL som back-end database, tjekker jævnligt lange lister af hjemmesider, som skal inficeres med den smittefarlige IFRAME kode.
Amado Hidalgo har også regnet ud, hvordan hackerne kommer ind på officielle hjemmesider, hvilket hidtil har undret efterforskerne.
"De køber lister over hjemmesidernes administratorkonti - sandsynligvis på det sorte marked,” siger han.
Administratorkontoerne bliver lagret i MySQL, og administratorerne fortsætter med at smitte andre hjemmesider uden at ane uråd.
Ikke nok at rense hjemmesiden
"Det er simpelthen ikke nok at rense sin hjemmeside. Man bliver nødt til at lave administratorens konto helt om,” advarer Amado Hidalgo.
Ken Dunham, som er direktør for VeriSign-iDefenses krisehjælpsafdeling, siger, at Mpack koster omkring 5.540 kroner, og at den mand eller kvinde som står bag, kendes under navnet "$ash" i den russiske hacker-undergrund.
Den seneste version af Mpack hedder .90 og indeholder redskaber til at udnytte otte forskellige svagheder, hvoraf seks af dem findes i Windows eller Internet Explorer – en af dem er den farlige ANI bug, der ramte Vista tidligere på året.
"Det er et meget magtfuldt web-redskab," siger Ken Dunham.
Oversat af Ditte Thøgersen
