DoSECU 安全报道 6月19日消息:Websense研究人员发现一个名为Nine-Ball的攻击对大量的合法网站进行违规,将用户引到一个含有恶意软件的恶意的网站。在过去几周时间里,这是与安全违规相关的第三个新闻。
40000多合法网站遭受到了一次攻击的打击,用户被带到一个含有恶意软件的网站。
Websense官员表示他们从6月3日就发现了Nine-Ball违规现象,由于受害的用户打开的恶意网站叫Nine-Ball,因此而得名。
"我们没有公布受到违规的这些网站的名称。"Websense威胁研究部门经理Stephan Chenette说:"我们已经尝试着联系一些受到影响的网站,让他们知道他们被感染了。"
Chenette表示,这次攻击看起来像是一个木马作用的结果,专门刷取网站所有者的FTP凭据。一旦他们成功获得凭据,攻击者就会输入到自动漫游中并获得对几千的网站内容进行控制。
当用户打开那些网站他们就会在一系列的受攻击者所控制的不同网站之间反弹,最终他们会被带到最终的一个含有开发代码的网站。一旦到了那里,用户就会受攻击企图的驱使,利用各种Microsoft,Adobe Reader和QuickTime漏洞。如果获得成功,用户将得到一个检测率很低的Trojan dropper。
通常这些违规网站都是用来检查他们是否用相同的IP地址浏览了不止一次。如果冲浪者已经不止一次地浏览这个网站,他或她将会被直接引到ask.com,而不是攻击网站。
Nine-Ball是最近几周以来受关注度比较高的三次大规模网站违规事件之一,Chenette表示,它与其他的事件还有所不同。
"Nine-Ball大范围违规与either Beladen 或Gumblar之间不存在关系,但是像之前的大范围违规事件一样,许多攻击者的机器都设在Ukraine。"
"任何时间,Websense安全实验室都在对这些大规范围违规进行跟踪。"他补充说。
