安全研究人员正在看到Gumblar的复苏,一种恶意代码的名称通过危及合法但不安全的网站而传播。
5月,数千个网站被发现已被黑客入侵提供一个iframe,这是一种将来自一个网站的内容带入另一个网站的方法。 iframe导致了“gumblar.cn”域名。然后Gumblar会尝试通过Adobe系统产品(如Flash或Reader)中的软件漏洞利用用户的PC,然后传递恶意代码。
Gumblar现在也改变了策略。供应商IBM和ScanSafe表示,黑客现在将这些代码放在受损的网站上,而不是托管在远程服务器上的恶意负载。据IBM的互联网安全系统频率X博客称,Gumblar也被更新为使用Adobe的Reader和Acrobat程序中最新的漏洞之一。
[更多阅读:如何从Windows PC删除恶意软件]黑客知道,ISP关闭恶意域名只是时间问题。然而,新的策略“为他们提供了一个分散和冗余的攻击媒介,遍布全球数千个合法网站,”IBM表示,“为了避免检测,上传到合法网站的错误代码有IBM公司称,它已经被塑造成与现有的文件结构相匹配。 IBM也表示,“它也被混淆或混淆,试图避免被发现。”
“Gumblar是一支不容忽视的力量,而他们的最新推手就是这一事实的真实证明,”IBM说。根据ScanSafe的一篇博客文章,Gumblar也采取了强行向论坛注入恶意iframe。这意味着人们成为所谓的路过式攻击的受害者,他们在访问合法网站时会立即暴露于其他地方的恶意内容。一旦PC受到感染,Gumblar还会查找其他FTP凭证可以用来危害其他网站。它还劫持了Internet Explorer浏览器,将Google搜索结果替换为其他网站的搜索结果,IBM认为这可能与“按点击付费”欺诈有关。