Alcuni ricercatori dell’Internet Storm Center dell’istituto SANS hanno recentemente identificato un eseguibile che nelle ultime settimane ha infettato migliaia di siti Web, sui quali è stato inserito del codice malevolo che poi viene installato sul PC del visitatore del sito stesso.
Dalla ricerca, sembra che l’eseguibile sia stato studiato in modo tale da effettuare in modo automatico attacchi di tipo SQL Injection ai danni di siti vulnerabili ad alcune ricerche.
Inoltre, sembra che il tool sia stato scritto in origine da un gruppo di hacker cinesi e dia la possibilità all’attaccante di scegliere quali tag HTML inserire nella pagina del sito attaccato.
Approfondendo l’analisi, i ricercatori hanno scoperto anche alcune caratteriste sorprendenti: una volta portato a termine l’attacco, il tool si collega automaticamente ad un server remoto in Cina, dove vengono lasciati i dati dell’attacco (come se il tutto fosse legato ad uno schema di pagamento per ogni attacco portato a termine con successo), per poi collegarsi nuovamente a Google per cercare altri siti vulnerabili.
I siti preferiti da questo tipo di attacco sono solitamente siti di news, di e-commerce che gli utenti usano da anni, abitualmente e di cui quindi sono portati a fidarsi. Un fenomeno questo in continua crescita, stando a quanto dicono gli esperti.