Sécurité informatique : Le ver Gumblar est de retour, dans une version encore plus agressive
Comme la matrice, Gumblar est "reloaded". Des chercheurs en informatique viennent de repérer une résurgence d'activité du code malicieux Gumblar, qui se propage via des sites légitimes mais malheureusement compromis du fait de failles dans leur construction.
En mai dernier, des milliers de sites Internet furent piratés pour alimenter un iframe (ce qui transfert le contenu d'un site web vers un autre). L'iframe redirigeait vers le domaine "gumblar.cn", qui essayait alors d'exploiter l'ordinateur de l'utilisateur qui atterrissait sur ses terres, via des failles présentes dans certains produits Adobe comme Flash ou Reader par lesquelles il tentait d'injecter du code malveillant.
Les pirates ont depuis changé de tactique. Plutôt que d'héberger leur charge utile sur un serveur donné, ils installent désormais ce code sur des sites Internet corrompus. Gumblar semble de plus avoir été mis à jour pour pouvoir exploiter les vulnérabilités les plus récentes de Reader et d'autres programmes d'Acrobat.
Les hackers savent en effet très bien qu'un domaine malveillant est en général très rapidement désactivé par un ISP (fournisseur d'accès à Internet). Leur nouvel angle d'attaque leur offre donc un vecteur d'action décentralisé et dedondant, éparpillé entre plusieurs milliers de sites Internet jugés intègres à travers le monde.
Pour rendre encore plus difficile la détection de leur code, ils l'ont de plus façonné de manière à ce qu'il respecte les critères existants de structures de fichiers avant de l'uploader.
Mais, d'après ScanSafe, Gumblar aurait également été diffusé sur des forums de discussion par ses créateurs. Les internautes pourraient donc devenir victimes d'attaques drive-by, qui les exposent instantanément à des contenus infectés extérieurs au site légitime qu'ils sont en train de visiter (bien évidemment à leur insu)
Pire, dès qu'un PC est infesté, Gumblar se met en quête de nouveaux comptes FTP qu'il pourrait utiliser afin d'exploiter d'autres sites web. Il craque le navigateur et remplace les résultats de recherche Google par ceux d'autres sites, soit infectés, soit potentiellement reliés à une fraude au "pay-per-click".
Cet ennemi est donc particulièrement coriace et dangereux.
Source : Le blog d'IBM Internet Security Systems Frequency X ; le blog de ScanSafe
Sécurité informatique : Le ver Gumblar est de retour
Dans une version encore plus agressive
Sécurité informatique : Le ver Gumblar est de retour
Dans une version encore plus agressive
Le , par Katleen Erna
Une erreur dans cette actualité ? Signalez-nous-la !