Les attaques du malware Gumblar en plein essor sur le Web
Cet agent malveillant injecte du code JavaScript pernicieux dans les sites. Il dispose de fonctions d’auto-protection et de propagation redoutables.
C’est fin mars que les premières alertes sont remontées. Les chercheurs avaient pensé que les attaques étaient interrompues avec l’intervention de Google qui avait déférencé mi-avril les sites infectés sur son moteur.
Cependant, une nouvelle variante de Gumblar est apparue en début de mois et elle n’arrête pas de monter en puissance depuis. Selon l’éditeur de solutions de sécurité ScanSafe, les attaques Gumblar ont augmenté de 188% uniquement sur la semaine dernière et Sophos estime que ce malware a représenté 42% de toutes les infections malwares au cours des sept derniers jours.
« Ce type de grosse infection est exceptionnelle (…) », déclare Mary Landesman, en qualité de chercheur senior chez ScanSafe. « Fondamentalement, le malware abuse de sa position en règne libre. » En soi, même le payload du malware est considéré comme potentiellement très dangereux.
Mary Landesman précise à Vnunet que le malware est capable d’intercepter le trafic Web tels que les requêtes de recherche sur Google et de les re-diriger vers des sites frauduleux. Une méthode qui permet au pirate de récolter des données cruciales de la part de l’utilisateur visant à l’exposer ultérieurement à de nouvelles infections.
Ce n’est pas tout : la représentante de ScanSafe précise que Gumblar contient un contrôleur de botnets et qu’il a la capacité de collecter touts les permissions de fichiers sur FTP à partir des systèmes infectés. Ce qui permet au malware d’infecter n’importe quels sites gérés par l’administrateur et donc d’élargir son spectre d’actions néfastes à d’autres domaines.
* Action malveillante réalisée par le virus et provoquée par un événement spécifique (date, heure, etc.), source : Malware City
Adaptation d’un article de Vnunet.com intitulé ‘Gumblar’ attack explodes across the web en date du 14 mai 2009