Gumblar har vaknat till liv igen. Bildkälla: IBM Security Systems.

Under maj månad i år blev tusentals sajter hackade i syfte att leverera skadlig kod via en så kallad iframe, en metod för att koppla innehåll från en sajt till en annan. En granskning av iframe-innehållet pekade mot den kinesiska domänen gumblar.cn, vilket gav den skadliga koden smeknamnet Gumblar.

Gumblar har utformats för att infektera Windows-datorer via sårbarheter i Adobe Systems-produkter som Flash och Reader. I den nya versionen, som nu gör intåg i ökat antal, har taktiken ändrats något. Istället för att koppla legitima sajter till egna preparerade servrar för leverans av skadlig kod, försöker hackarna nu infektera de legitima sajterna direkt. Det uppger säkerhetsforskare som rapporterar om detta via IBMs Internet Security Systems Frequencey X blogg.

Upphovsmakarna bakom Gumblar har även lagt in funktioner för att infektera webbforum via iframe-attacker, uppger Scansafe. Det betyder att besökare kan exponeras för en så kallad drive-by-attack, där skadlig kod hämtas från tredjepart och automatiskt körs på offrets system.

När en pc väl infekterats, söker Gumblar efter adresser till ftp-anslutningar för att sprida sig till fler sajter. Koden har även funktioner för att kapa webbläsaren Internet Explorer i syfte att ersätta Google-sökresultat med träffar till andra sajter, vilket IBM gissar har kopplingar till pay-per-click annonsbedrägerier.