Ataque Gumblar espalha-se por milhares de novos sites

O Gumblar, malware que era parte de uma massiva injeção de SQL em sites legítimos, continua a se espalhar e seus criadores têm estado ocupados ultimamente, comprometendo centenas de novos sites, levando uma enorme onda de infecções em PCs.

O Gumblar surgiu em abril. É o mais recenete em uma série de ataques similares nos quais os hackers usam uma variedade de técnicas – a maioria injeção de SQL – para comprometer sites legítimos. Eles tanto implantam malware no servidor back end do site ou uso um iFrame ou outra técnica para redirecionar visitantes para um servidor remoto. No caso do Gumblar, o redirecionamento do iFrame é a tática escolhida, que tem sido bem eficiente.

Em sua forma original, o Gumblar redirecionava as vítimas para dois sites remotos, Gumblar.cn ou Martuz.cn. Sua última versão está levando os internauta para milhares de servidores em mais de 200 países, de acordo com pesquisa de Michael Molsner, do Kaspersky Lab.

Nossos dados referentes a uma semana mostraram 443748 infecções no total - e isso é só uma parte. Por vários dias, alertamos sobre esta nova ameaça e sobre detecção de arquivos maliciosos que têm como alvo Adobe Reader e Flash Player, mas, de maneira supreendente, falou-se pouco sobre isso nos círculos de segurança em IT. O "novo gumblar" levou algum tempo para ser notado e ainda parece que não o foi por muita gente. No entanto, ele é bem ativo e, por isso, muitos fabricantes de PCs tiveram suas linhas de assist^ncia inundadas com ligações sobre reboots súbitos etc. Também há relatos de que as máquinas infectadas com uma versão defeituosa do gumblar travam completamente, deixando a tela preta e somente o ponteiro do mouse visível.

Experts dizem que a maioria das máquinas que foram infectadas com o Gumblar e outros malware similares geralmente são re-infectadas depois de limpas, porque os usuários não sabem que seus navegadores são vulneráveis e que mesmo sites que parecem seguros podem estar hospedando código de malware.