Researchers See Gumblar Attacks Surge Again

يرى الباحثون الأمنيون عودة غومبلار ، وهو اسم لشفرة خبيثة تنتشر عن طريق التضحية بالمواقع الشرعية ولكنها غير الآمنة.

في مايو ، تم العثور على آلاف المواقع على الإنترنت تم اختراقها ل عرض iframe ، وهي طريقة لنقل المحتوى من موقع ويب إلى آخر. أدى iframe إلى المجال "gumblar.cn". عندئذ يحاول Gumblar استغلال جهاز الكمبيوتر الخاص بالمستخدم عبر نقاط ضعف البرامج في منتجات Adobe Systems مثل Flash أو Reader ، ثم يقوم بتسليم رمز خبيث.

كما غيّرت Gumblar الآن تكتيكاتها. بدلاً من استضافة الحمولة الضارة على خادم بعيد ، يضع المتسللون الآن هذا الرمز على مواقع الويب المخترقة ، كما يقول بائعو IBM و ScanSafe. يبدو أيضًا أن Gumblar تم تحديثه لاستخدام إحدى نقاط الضعف الأخيرة في برامج Adobe Reader و Acrobat ، وفقًا لمدونة IBM Internet Security Systems Frequency X

[المزيد من القراءة: كيفية إزالة البرامج الضارة من جهاز كمبيوتر يعمل بنظام Windows]

يعلم المخترقون أن الأمر مجرد مسألة وقت قبل أن يتم إغلاق النطاق الخبيث بواسطة مزود خدمة الإنترنت. إلا أن التكتيك الجديد "يمنحها ناقلات هجومية لا مركزية وفائضة ، تنتشر عبر آلاف المواقع الشرعية حول العالم".

للمساعدة في تجنب الكشف ، فإن الشفرة السيئة التي تم تحميلها على المواقع الشرعية وقالت شركة آي بي إم: "لقد تم تشكيلها لتتناسب مع" هياكل الملفات الموجودة. كما أنه تم تشويشها أو تشويشها في محاولة لتجنب الكشف.

"Gumblar هي قوة لا يستهان بها ، وهذه الدفعة الأخيرة من لهم هو دليل حقيقي على هذه الحقيقة" ، قال IBM.

المتسللين وراء كما اتخذت Gumblar أيضا حقن iframe الخبيثة في المنتديات ، وفقا لمقالة بلوق من ScanSafe. هذا يعني أن الناس يصبحون ضحية لما يُسمى بالهجوم من سيارة ، حيث يتعرضون على الفور لمحتوى ضار من مكان آخر عند زيارة موقع شرعي.

بمجرد إصابة جهاز الكمبيوتر ، يبحث Gumblar أيضًا عن بيانات اعتماد FTP الأخرى يمكن استخدامها لتهديد مواقع الويب الأخرى. كما أنها تستحوذ على متصفح Internet Explorer ، لتحل محل نتائج بحث Google مع تلك الخاصة بمواقع الويب الأخرى ، والتي تعتقد IBM أنها قد تكون مرتبطة بتزوير "الدفع لكل نقرة".