Gumblar a été présenté comme un botnet, mais c'est avant tout un fantastique système pour compromettre des sites Internet (*).
Depuis Mars dernier, il détourne des sites Web dont les paramètres de sécurité sont insuffisants, les applications vulnérables, ou en volant les « pouvoirs » FTP.
Le maliciel manipule directement les fichiers des serveurs auxquels il a eu accès. Il modifie des fichiers et injecte des scripts et distribue des codes arbitraires (malveillants) en provenance de gumblar.cn ou d'autres serveurs à différentes adresses IP.
Selon des experts en sécurité, il existe plusieurs codes, chacun étant adapté à différents types de sites Web ce qui rend extrêmement difficile l'identification de ceux qui sont compromis. L'attaque ne peut être découverte qu'accidentellement lorsque quelqu'un vient sur un site infecté. En outre, l'attaque comporte du JavaScript assombri (« obfuscated ») qui est inséré dans le code source du site. Le drive-by-download exploite les failles dans les programmes Adobe Reader et Flash d'un visiteur. La victime se joint à un botnet qui change les résultats des recherches effectués avec Google par une attaque de type « man-in-the-middle » (**).
US-CERT rappelle que les visiteurs de sites Web infectés par Gumblar peuvent facilement être à leur tour gangrénés par ce maliciel, s'ils n'ont pas appliqué les mises à jour de Adobe Reader et de Flash Player qui colmatent les vulnérabilités connues.
Plus de 1.500 sites étaient déjà piratés il y a une semaine, y compris « Tennis.com » et « Variety.com » ce qui ne représente pas vraiment un grand nombre. Cependant, depuis quelques temps l'attaque s'emplifie. En une seule semaine sa progression aurait été de 80%, selon la société de sécurité ScanSafe.
Selon une autre estimation, et à cause de la capacité d'évoluer de Gumblar, le nombre de sites infectés serait maintenant passé à 3.000 malgré les efforts de Google pour le neutraliser, et l'expansion semble toujours aussi difficile à juguler. .
Par conséquent, il est recommandé aux utilisateurs qui pensent que leurs sites web ont été compromis, de nettoyer leur système contre les logiciels malveillants en changeant les mots de passe des comptes FTP. Ils doivent également installer les mises à jour des logiciels de sécurité.
Pour garder le PC (et le site Web) en sécurité, « Soyez à jour ! ». Cela est particulièrement important pour ceux qui utilisent un logiciel qui n'est pas automatiquement actualisé par lui-même.
Un peu de lecture en anglais ...
Gumblar: Biggest Threat on the Web Today? (InternetNews)
Google result-manipulating Gumblar exploit picking up steam (Ars Technica).
@+
Notes ...
- (*) Voir : Détournement de sites de confiance
- (**) Le procédé d'espionnage « man-in-the-middle » (homme au milieu) est proche du système d'interception/analyse/relais des communications légal en Suède et en France dans le cadre d'enquêtes juridico-policières selon la loi LOPPSI actuelle. Ce type d'attaque peut-être comparé à l'utilisation d'un « sniffer » (renifleur) qui s'interposerait comme relais dans les communications entre deux correspondants.
Il pourrait être utilisé par les espions des milices privées dans le cadre de la loi « Hadopi » (sous la couverture d'une fausse « commission indépendante ») et surtout généralisé par la loi « LOPPSI 2 » en préparation.