นักวิจัยด้านความปลอดภัยกำลังเห็นการผลักดันใหม่จาก Gumblar ชื่อของโค้ดอันตรายซึ่งแพร่กระจายโดยการประนีประนอมเว็บที่ถูกกฎหมาย เว็บไซต์

ในเดือนพฤษภาคมพบว่าหลายพันเว็บไซต์ถูกแฮ็กไป ให้บริการ iframe ซึ่งเป็นวิธีนำเนื้อหาจากเว็บไซต์หนึ่งไปยังอีกเว็บไซต์หนึ่ง iframe นำไปสู่โดเมน "gumblar.cn" Gumblar จะพยายามใช้ประโยชน์จากพีซีของผู้ใช้ผ่านช่องโหว่ของซอฟต์แวร์ในผลิตภัณฑ์ Adobe Systems เช่น Flash หรือ Reader และส่งมอบโค้ดที่เป็นอันตราย

Gumblar ได้เปลี่ยนกลยุทธ์ของ บริษัท แล้ว แฮกเกอร์กำลังวางโค้ดดังกล่าวลงในเว็บไซต์ที่ถูกบุกรุกซึ่งผู้ค้า IBM และ ScanSafe กล่าวว่าแทนที่จะโฮสติ้งข้อมูลที่เป็นอันตรายบนเซิร์ฟเวอร์ระยะไกล นอกจากนี้ยังปรากฏว่า Gumblar ได้รับการอัปเดตเพื่อใช้ช่องโหว่ใหม่ล่าสุดในโปรแกรม Adobe Reader และ Acrobat ตามที่บล็อกของ Internet Security Systems Frequency X

[อ่านเพิ่มเติม: วิธีลบมัลแวร์จากคอมพิวเตอร์ที่ใช้ Windows ของคุณ]

แฮกเกอร์รู้ว่าเป็นเพียงเรื่องของเวลาก่อนที่โดเมนที่เป็นอันตรายจะถูกปิดโดย ISP "ให้พวกเขามีเวกเตอร์การโจมตีแบบกระจายอำนาจและซ้ำซ้อนกระจายอยู่ทั่วหลายพันเว็บไซต์ที่ถูกต้องตามกฎหมายทั่วโลก" IBM กล่าว

เพื่อช่วยหลีกเลี่ยงการตรวจจับรหัสที่ไม่ถูกต้องซึ่งถูกอัปโหลดไปยังเว็บไซต์ที่ถูกต้องมี ไอบีเอ็มกล่าวว่าได้รับการปั้นขึ้นเพื่อให้ตรงกับโครงสร้างไฟล์ที่มีอยู่ นอกจากนี้ยังมีสัญญาณรบกวนหรือบดบังเพื่อพยายามหลีกเลี่ยงการตรวจจับ

"Gumblar เป็นแรงที่ควรคำนึงถึงและความพยายามครั้งล่าสุดนี้เป็นข้อพิสูจน์ที่แท้จริงของความเป็นจริง" IBM กล่าว

แฮกเกอร์ที่อยู่เบื้องหลัง ตามที่โพสต์บล็อกจาก ScanSafe กล่าวว่า Gumblar ได้ดำเนินการบังคับให้ฉีด iframe ที่เป็นอันตรายไปในฟอรัม หมายความว่าผู้คนกลายเป็นเหยื่อของการโจมตีด้วยไดรฟ์โดยที่พวกเขาจะสัมผัสกับเนื้อหาที่เป็นอันตรายจากที่อื่นเมื่อเข้าสู่ไซต์ที่ถูกต้อง

เมื่อคอมพิวเตอร์ถูกบุกรุก Gumblar ยังมองหาข้อมูลรับรอง FTP อื่น ๆ ด้วย สามารถใช้เพื่อประนีประนอมเว็บไซต์อื่น ๆ ได้ นอกจากนี้ยังขัดขวางเบราว์เซอร์ Internet Explorer แทนที่ผลการค้นหาของ Google ด้วยเว็บไซต์อื่น ๆ ซึ่ง IBM คิดว่าอาจเชื่อมต่อกับการฉ้อโกง "จ่ายต่อคลิก"