Gumblar : l'attaque par XSS prend de l'ampleur

Les chercheurs en sécurité informatique ont renforcé leur vigilance devant la prolifération d'un nouveau ver baptisé Gumblar. Ce dernier est injecté directement au sein des sites Internet par cross-scripting, c'est-à-dire en plaçant du code malicieux directement au sein des page Internet. Les experts traquent ce programme malveillant depuis le mois de mars et expliquent que ce dernier accède et manipule les fichiers sur serveurs web. Le code injecté provient du site gumblar.cn et de différentes adresses IP.

D'autres chercheurs du groupe ScanSafe ajoutent que Gumblar cible particulièrement les sites Internet répertoriés par Google. Depuis plusieurs mois le moteur de recherche retire régulièrement de ses résultats les pages web infectées mais le code du malware changerait continuellement rendant la tâche plus difficile pour la firme de Mountain View.

Une fois sur la machine de la victime, le ver emprunterait des failles des lecteurs PDF et Flash non corrigées et, si l'utilisateur infecté possède un site Internet, s'infiltrerait au sein du client FTP afin de récupérer les identifiants et continuer sa propagation.

Selon le cabinet Sophos, toutes les 4,5 secondes une nouvelle page serait infectée par Gumblar. « Personne ne devrait douter du fait qu'Internet est toujours le vecteur principal des attaques cybercriminelles », explique Graham Cluley, consultant technologique chez Sophos. « Et cette nouvelle menace indique bien que la situation n'est prête de changer », ajoute-t-il.

Comme bien souvent, il suffit de mettre régulièrement ses logiciels à jour pour ne pas être infecté du malware.