Hãng bảo mật Websense đã phát hiện ra cuộc tấn công Nine Ball và liên tục giám sát t�� ngày 3/6. Cơ ch�� hoạt động của nó là load các trang web “nạn nhân�� với nhiều malware nguy hiểm sau khi đã chiếm được chúng. Đ�� tránh b�� phát hiện, Nine Ball s�� dụng phương thức nhận dạng và ghi nh�� IP từng lượt truy cập, theo đó nếu một IP liên tiếp truy cập vào website này s�� được Nine Ball chuyển hướng đến trang tìm kiếm Ask.com.

“Ask.com hoàn toàn “trong sạch��. Việc Nine Ball chuyển hướng truy cập đến Ask.com chẳng qua là đ�� đánh lạc hướng các nhà điều tra.��, theo Stephan Chenette, điều hành trung tâm bảo mật �� Websense.

 S�� lượng website là nạn nhận của Nine Ball ngày càng tăng

Stephan Chenette cho biết, nếu nạn nhân lần đầu truy cập vào website b�� Nine Ball chiếm quyền nói trên, Nine Ball s�� dẫn h�� đi lòng vòng, cuối cùng đích đến dừng tại trang nine2rack.in. Thoạt nhìn, nạn nhân s�� lầm tưởng đây là website �� Ấn Đ��, nhưng thực chất nó lại thuộc Ukraina.

Tại đây, Nine Ball s�� load trang bằng một s�� đoạn mã nguy hiểm, tìm cách khai thác l�� hổng bảo mật MS06-014 MDAC và CVE-2006-5820 AOL SuperBuddy, cũng như nhắm vào hai phần mềm Adobe và Quicktime�� Với lỗi MS06-014 MDAC của Windows, Nine Ball s�� tải v�� máy nạn nhân Trojan có tên SOCKET2.DLL vào thư mục chứa bản cài h�� điều hành.

Đối với những l�� hổng b�� Nine Ball khai thác còn lại, Nine Ball “đề nghị�� nạn nhân tải v�� những bản vá được gắn sẵn Trojan, keylogger�� bên trong. Nguy hiểm hơn, trong s�� những Trojan và keylogger mà Nine Ball gắn kèm đó, có nhiều loại mà ngay c�� những chương trình diệt virus nổi tiếng vẫn chưa th�� nhận dạng.

Các đoạn code độc hại mà Nine Ball gắn vào website nạn nhân

Nine Ball ch�� yếu tấn công bằng phương thức SQL Injection, đặc biệt đối với những website bảo mật kém. Nine Ball đánh cắp mật khẩu quản tr�� và đăng nhập vào những website này đ�� chiếm quyền kiếm soát chúng.

Hiện Websense đang theo dõi chặt ch�� hoạt động của Nine Ball và tìm cách ngăn chặn.