Ataque infecta 40 mil sites legítimos.

Um ataque maciço chamado Nine-Ball injeta códigos maliciosos em mais de 40 mil sites legítimos, transformando-os em redistribuidores de malware. Conforme um alerta publicado pela Websense, o Nine-Ball injeta em sites um código disfarçado que provoca redirecionamentos em múltiplos níveis e instala um cavalo de troia na máquina do usuário.

O nome Nine-Ball (algo como nove rebatidas) refere-se exatamente a essa cascata de redirecionamentos. O usuário visita um site legítimo infectado e seu browser é remetido sucessivamente para vários sites até o nono. Neste, o IP do visitante é gravado. Na primeira visita, o passo final é a implantação de um cavalo de troia na máquina. Nas seguintes, como o site já tem o número IP, o usuário é remetido para um site legítimo e sem problemas, o Ask.com.

O código malicioso no último site tenta explorar falhas de segurança conhecidas e já corrigidas do Windows, do mensageiro instantâneo da AOL e também brechas do Adobe Acrobat Reader e do QuickTime. Se existe uma dessas brechas no sistema, o arquivo Socket2.dll é baixado para a pasta de sistema. O objetivo da invasão é roubar informações sensíveis do usuário, como senhas e logins.