Dans son rapport mensuel mondial sur les menaces, ScanSafe, founisseur de solutions de sécurité Web en mode SaaS, indique que 29% de tous les malware Web bloqués en octobre 2009 sont issus de Gumblar. Cette série de compromissions de sites Web, collectivement surnommée ‘Gumblar’, fonctionne selon une approche en plusieurs directions et installe des mouchards de trafic et des portes dérobées sur les PC des internautes, puis utilise les certificats FTP dérobés pour compromettre et s’introduire sur les sites Web.  

ScanSafe dit avoir découvert qu’en octobre 2009 Gumblar a commencé à exploité son botnet de sites Web compromis par porte dérobée en les utilisant de façon inhabituelle comme hôtes mêmes du malware. Le malware ainsi hébergé sur les sites est construit de façon dynamique au moment de l’accès. Les différents utilisateurs, selon le type de leur navigateur et d’autres éléments, récupèrent des exploits différents et potentiellement des malware différents. Il est inquiétant de noter que le malware est également dynamiquement obscurci, ce qui empêche une détection par les voies classiques à base de signatures.

“On peut dire que Gumblar est l’une des menaces actuelles les plus insidieuses pour les internautes et les opérateurs de sites Web,” commente Mary Landesman, Chercheur Sénior en Sécurité chez ScanSafe. “Ce qui est troublant est que début novembre nous avons détecté que la porte dérobée restée en place sur les sites compromis par les pirates de Gumblar a également été exploitée par d’autres groupes d’attaque, ce qui signifie que ces sites sont sous leur contrôle. Le tout a exacerbé la gravité de la situation.”

Gumblar, également connu sous le nom de JSRedir-R, avait fait beaucoup parler de lui en mai dernier, puis a été perdu de vue. Pour revenir en force apparemment ?