Hacker tấn công Monster.com

Monster.com đã phải ngừng một phần trang web vào thứ hai vừa rồi, theo như các nhà nghiên cứu thông báo nó đã bị thỏa hiệp bởi một cuộc tấn công IFrame và đang bị lợi dụng để lây lan sang mọi khách thăm site bằng một công cụ tấn công cực kì nguy hiểm.

Theo các báo cáo ghi lại trên Internet, thì mạng hacker Russian Business Network (RBN) khả năng có liên quan.

Các phần của Monster Company Boulevard, nơi cho phép những ngườitìm việc tìm kiếm vị trí trong từng công ty, đã không hiển thị vào thứ hai; vào buổi tối, toàn bộ mục này trở nên đen ngòm. Đa số các công ty của Mỹ được hiển thị trên trang web – Bộ nhớ đệm của trang web trên Google chỉ hiện tên các hãng bắt đầu với chữ cái B chẳng hạn Banana Republic, Bank of America, Black & Decker, Boeing, Broadcom và Budget Car Rental.

Những người kiếm việc sử dụng đường dẫn tới các công ty cung cấp bởi Monster trong ngày thứ hai trước khi website bị tấn công bất ngờ bởi Neosploit, một bộ công cụ tấn công tương tự như Mpack được biết trước đó, Thompson, giám đốc công nghệ tại phòng thí nghiệm Exploit Prevention Inc cho biết.

Thompson ghi trong một thông báo khẩn vào tối thứ hai “Đường dẫn lây nhiễm là http://company.monster.com/toyfs/ của hãng Toyota hay đường dẫn http://company.monster.com/bestbuy của Best Buy.

Cuộc tấn công của mã IFrame độc nhằm vào trang web Monster.com chắc chắn là đã xảy ra hôm thứ hai, ông cho biết thêm.

Cũng như các cuộc tấn công IFrame khác, nó lặng lẽ gửi trình duyệt của người dùng tới trang chủ Neosploit. Trong trường hợp có ít nhất một trong các trang bị tấn công mà Thompson xác định được thì có sự kết nối tới RBN, mạng hacker và chứa malware khét tiếng mà mới đây chuyển địa bàn hoạt động sang Trung quốc, rồi loại bỏ một cách khó hiểu các block IP được thu nhận ở Trung quốc và biến mất hoàn toàn trên Internet.

Địa chỉ IP của trang bị tấn công công được xác định là một máy chủ ở Australia là một phần của tên miền "myrdns.com". Tên miền đó được đăng ký tại một nhà cung cấp dịch vụ Internet ở Hồng Kông tên là HostFresh Internet. Cả HostFresh và myrdns.com đã được liên kết tới các hoạt động của RBN, kể cả lược đồ IFrame Cash đang chạy lâu nay, trong đó RBN trả tiền cho các trang nhỏ để phát tán IFrame sang các trang khác.

Theo một blogger giấu tên đã theo dõi RBN, các địa chỉ IP khác nhau của myrdsn.com/HostFresh đều liên quan đến vụ hack ngân hàng Ấn Độ vào tháng 8.

Thompson nói ông vừa mới bắt đầu nghiên cứu vụ hack trên Monster.com vào chiều thứ hai. "Không rõ là bao nhiêu trang đã bị ảnh hưởng, nhưng cuộc tấn công dường như là giống nhau với tất cả các công ty trên trang web", Thonson nói trên blog của mình.

Maynard, Mass.- Monster.com lần cuối cùng được bảo mật thông tin vào tháng 8, khi đó công ty được báo động rằng các hacker đã ăn trộm cơ sở dữ liệu trong nhiều tuần có lẽ là nhiều tháng, rồi sử dụng các thông tin đó để lừa đảo và gửi e-mail lừa tiền hoặc lừa người nhận thư tải xuống các malware.

Chủ Nhật, 25/11/2007 10:10
31 👨 67
0 Bình luận
Sắp xếp theo