Una nuova campagna malevola di attacco di massa, chiamata LizaMoon è stata identificata da Websense Security Labs Threatseeker Network. Si tratta di un’iniezione SQL che inserisce una linea all’interno del codice della pagina:

Secondo Google Search oltre 380.000 URL sono stati compromessi, tra i quali anche iTunes.

iTunes funziona scaricando i feed RSS/XML dei publisher per aggiornare i podcast e le liste degli episodi disponibili. Secondo Websense questi feed RSS/XML sono stati compromessi dal codice malevolo ‘iniettato’. iTunes però codifica gli script tag, in questo modo lo script non viene eseguito sul computer dell’utente.

L’URL malevolo non è al momento attivo e il server è ancora funzionante, ma la situazione potrebbe cambiare in ogni momento. Lo script conteneva un semplice codice JavaScript che reindirizzava l’utente a un sito Rogue AV: hxxp://defender-uqko.in.

Websense ha monitorato sin dall’inizio questo attacco. Gli URL compromessi sono in continuo aumento, oltre a 380.000, e sempre più domini sono stati coinvolti ad eccezione di lizamoon.com.

“In un primo momento abbiamo rilevato 28.000 URL infetti, ma ora l’attacco di massa LizaMoon ha colpito più di 380.000 URL. Si tratta di uno dei più estesi attacchi di massa mai rilevati. I nostri Security Labs hanno monitorato l’attacco sin dall’inizio e hanno rilevato un costante aumento di URL compromessi. Inoltre molti domini e siti payload sono stati coinvolti da lizamoon.com. Attualmente i siti payload sono inattivi ma possono essere ‘accesi’ in qualsiasi momento”, ha dichiarato Carl Leonard, Websense Security Labs.