Internett Hit By Massive LizaMoon SQL Injection Attack; installerer rogue Windows Stabilitetssenter
Sikkerhetsfirma, Web Sense har oppdaget et SQL Injection-angrep som leder brukeren til å installere rogue sikkerhetsprogramvare Windows Stabilitetssenter. Antallet berørte nettsteder på oppdagelsestidspunktet var rundt 28 000 og fra nå av er mer enn 500 000 nettsteder påvirket av angrepet som betyr at angrepet beveger seg i et alarmerende raskt tempo.
Som angitt er angrepet basert på SQL-injeksjonsmetoden, som utnytter dårlig kodede applikasjoner. Ifølge threapost.com,
I dette tilfellet ble SQL-injeksjonsangrepene brukt til å sette inn ondsinnet kode i backendatabaser, som da ble servert opp til intetanende brukere. Angrepet ble kalt "LizaMoon" i anerkjennelse av et ondsinnet webdomene, registrert kort før angrepene startet, som har blitt brukt til å betjene ondsinnede lenker. Det domenet var frakoblet på det tidspunktet denne rapporten ble arkivert, men en håndfull andre webdomener speiler angrepet.
Brukere som klikker på en kobling til et nettsted som har blitt kompromittert og injisert med den ondsinnede koden, blir en PHP-fil dyttet til brukerens datamaskin som omdirigerer nettleseren til et nettsted som installerer rogue antivirusprogramvare kjent som Windows Stabilitetssenter.
Denne videoen forklarer hvordan angrepet fungerer.
States Web Sense:
LizaMons masseinjeksjonskampanje er fortsatt pågående og over 500 000 sider har en skriptlänk til lizamoon.com i henhold til foreløpige søkeresultater fra Google.
Vi har også kunnet identifisere flere andre nettadresser som er injisert på nøyaktig samme måte, så angrepet er enda større enn vi opprinnelig trodde. Alt i alt gir et søk på Google mer enn 1.500.000 resultater som har en lenke med samme nettadressestruktur som det første angrepet. Googles søkeresultater er ikke alltid gode indikatorer for hvor utbredt et angrep er som det teller hver unike nettadresse eller side, ikke domene eller nettsted, men det gir noen indikasjon på omfanget av problemet hvis du ser på hvordan tallene gå opp eller ned over tid.
Mange iTunes-relaterte nettsteder ble også berørt av angrepet, men som skriptetiketter er kodet, kan de ikke utføres.
Så hvis du besøker et nettsted og blir omdirigert til et sikkerhetsprogramvareside, er det sjansene for at nettstedet du åpnet har blitt kompromittert. Hva du kan gjøre for å beskytte deg selv, er å lukke nettsiden vinduet og skanne deg PC med en kjent antivirusløsningfor eksempel Microsoft Security Essentials.