Computerworld News Service: Asprox Botnettet, der specialiserer sig i at udsende phishing-spam, er i gang med at 'opdatere' de pc'er, som botnettet kontrollerer, forklarer Joe Stewart fra Secureworks.
Opdateringen er en eksekverbar fil, 'msscntr32.exe', der fremstår som en Windows-service kaldet 'Microsoft Security Center Extension', men filen installerer i virkeligheden et aggressivt SQL-injection værktøj, forklarer Stewart.
Den onde cirkel
SQL-injection-angreb er blevet mere almindeligt udbredt i sammenhæng med, at kriminelle angriber legitime websider.
De finder en metode til at hacke siderne og planter derefter IFRAMEs, som omdirigerer brugerne til ondsindede servere.
Disse servere angriber så de besøgendes pc'er fra mange forskellige vinkler, og hvis et af angrebene virker, tilføjes der et stykke kode til maskinen, der hijacker den og tilføjer pc'en til en hær af andre 'zombie'-maskiner.
"Der er mange inficerede servere, der lancerer ens angreb derude. Nogle analytikere har fejlagtigt konkluderet, at SQL-injection-værktøjet bruger worm-lignende taktikker. Værktøjet spreder sig ikke af sig selv, men benytter Asprox-botnettet til at formere sig til nye værter," forklarer Stewart.
Det er blevet sværere at separere de mange metoder, som hackere bruger til at angribe legitime websider, især på grund af den mængde angreb, der har fundet sted for nylig ved hjælp af SQL-injection-værktøjer.
Sidste måned blev omkring 500.000 sider angrebet og gjort sårbare, inklusive websider som blev vedligeholdt af FN.
Efter at Asprox-botnettet har plantet msscntr32.exe filen i sine bots, vil angrebsværktøjet starte Googles søgemaskine på den inficerede pc og begynde at lede efter potentielt sårbare sider.
Når en sårbar side er fundet, vil 'botten' angribe med et SQL-injection-værktøj og efterlade en IFRAME på siden.
Besøgende vil nu blive omdirigeret til en række malware-servere, som vil forsøge at bryde maskinens forsvar fra mange forskellige vinkler.
Hvis et af angrebene virker, vil der blive hentet og installeret en trojansk hest, som tilføjer pc'en til Asprox-botnettet. Disse ny-tilføjede pc'er vil nu begynde med at 'spytte' flere phishing-spams ud.
Andre sikkerhedsvirksomheder, som for eksempel F-Secure Corp. og Symantec Corp., har også indsamlet beviser på stigningen i SQL-injection-angreb. Disse virksomheder beskylder kinesiske hackere for at angribe legitime websider, i et forsøg på at stjæle passwords til forskellige onlinespil.
Oversat af Jimmie Gustafsson
