n haar maandelijkse World Threat Report dat vandaag is gepubliceerd, maakt ScanSafe, pionier en vooraanstaand aanbieder van SaaS Web Security, bekend dat 29% van alle malware blokkeringen in oktober 2009 toe te schrijven is aan Gumblar.
Deze reeks dreigingen voor websites, gezamenlijk "Gumblar" genoemd, gaat op meerdere fronten in de aanval; het installeert sniffers en achterdeuren op PC’s van websurfers en gebruikt vervolgens gestolen FTP identificatiekenmerken om via een achterdeur websites te belagen.
ScanSafe heeft ontdekt dat Gumblar in oktober 2009 zijn botnet van stiekem belaagde websites vreemd genoeg ging gebruiken als de host van de malware zelf. Wanneer de malware eenmaal toegang heeft gekregen tot de site, wordt het dynamisch gebouwd. Zodoende worden verschillende gebruikers, afhankelijk van het type browser en andere factoren, geconfronteerd met verschillende exploits en mogelijk verschillende soorten malware. Verontrustend is het feit dat de malware ook dynamisch wordt versluierd, waardoor detectie via traditionele signature strings belemmerd wordt.
"Gumblar is mogelijk één van de meest verraderlijke dreigingen waar websurfers en website operators mee te maken hebben," zegt Mary Landesman, senior security researcher bij ScanSafe. "Begin november ontdekten we dat de achterdeur die de Gumblar aanvallers op de belaagde websites achtergelaten hadden, gebruikt werd door andere groepen aanvallers, waardoor deze controle hadden over de sites, en dat is zorgwekkend. Het maakt de situatie alleen maar erger."
Gumblar is uniek aangezien aanvallers toegang krijgen via gestolen FTP identificatiekenmerken en niet door gebruik te maken van de gangbare code injection methodes. Geheel in afwijking van de praktijk tot nu toe installeert Gumblar PHP achterdeuren op de websites en gebruikt het deze stiekem belaagde websites als de daadwerkelijke host van de malware.
"De gevolgen hiervan zijn nogal onthutsend," voegt Landesman eraan toe. "Bij een typische uitbraak van aanvallen op websites zijn doorgaans maar een paar echte malware domeinen betrokken. In het geval van Gumblar functioneren tenminste 2000 via achterdeuren belaagde websites als daadwerkelijke hosts van de malware. Het gevolg daarvan is dat de pogingen om de bron van de malware uit te schakelen niet slechts op één of een paar plekken gericht moeten zijn.
Bij het laden van de malware vanaf de via de achterdeur belaagde websites krijgen tienduizenden andere belaagde websites te maken met schadelijke iframes. Het is verontrustend te weten dat websurfers die één van deze volgsites bezoeken, blootgesteld worden aan een verzameling exploits die bedoeld zijn om de Gumblar malware ongemerkt te installeren. Op Windows systemen wordt de geïnstalleerde malware geladen als sites of apparatuur met geluidsmogelijkheden bezocht worden. Het dringt ook vanzelf binnen in het Internet Explorer proces en onderschept al het webverkeer naar en van de computer. Alle eventueel bemachtigde FTP identificatiekenmerken worden naar de aanvaller gestuurd, zodat de Gumblar website botnet verder in omvang toeneemt.
Interessant genoeg toont onderzoek naar de broncode van de malware, die via de door Gumblar belaagde websites wordt afgeleverd, aan dat de malware taalspecifiek is en zich richt op Engelse, Nederlandse, Duitse, Italiaanse en Spaanse gebruikers.
Voor een volledig exemplaar van het laatste ScanSafe Global Threat Report, ga naar www.scansafe.com.