Από τις 29 Μαρτίου παρατηρείται μαζική επίθεση SQL Injection σε διάφορα urls. Η κωδική της ονομασία είναι «LizaMoon» γιατί αρχικά παρατηρήθηκε στο site lizamoon.com. Τα στοιχεία διαφόρων εταιριών όμως, όπως η Symantec ή η Websense μιλούν για μία από τις πιο μαζικές επιθέσεις τέτοιου τύπου όλων των εποχών. Από μία απλή αναζήτηση στο Google, τουλάχιστον 2.9 εκατομμύρια urls φαίνονται να έχουν προσβληθεί.
Η αρχική επίθεση αφορούσε 28000 urls, αλλά μέσα στις τελευταίες 4 μέρες, εξαπλώθηκε ραγδαία. Τι κάνει όμως το LizaMoon;
Με πολύ απλά λόγια, αν επισκεφτείτε ένα site που έχει προσβληθεί, θα οδηγηθείτε σε ένα άλλο site που θα σας υποδεικνύει πως ένας αριθμός από απειλές έχει προσβάλει τον υπολογιστή σας. Εκεί, θα σας προσκαλέσει να κάνετε download ένα ψεύτικο antivirus προκειμένου να εξαλείψετε τις απειλές. Αμέσως μετά, καλείστε να πληρώσετε ένα αντίτιμο προκειμένου να ολοκληρώσει τις εργασίες του το ψεύτικο antivirus.
Οι προσβολές έχουν γίνει σε απόλυτα νόμιμα sites εν αγνοία τους.
Ερευνητές έχουν εντοπίσει τις διευθύνσεις ΙΡ απ’ τις οποίες προέρχονται τα περίπου 170 domains στα οποία οι χρήστες καθοδηγούνται προκειμένου να κατεβάσουν το περίφημο antivirus, καθώς και τους 2 host servers στους οποίους φιλοξενούνται.
Τα καλά νέα πάντως, σύμφωνα με τους αναλυτές είναι πως η επίθεση εμφανίζεται μόνο μία φορά ανά χρήστη.
Τα κακά νέα είναι ότι μόνο 17 από τα 43 «μεγάλα» προϊόντα antivirus (μέχρι την 1η Απριλίου τουλάχιστον) μπορούν να αναγνωρίσουν την απειλή. Ο αντίστοιχος αριθμός την προηγούμενη ημέρα, 31 Μαρτίου, ήταν 13 στα 43. Αυτό ίσως σημαίνει πως έστω και αργά οι εταιρίες ασφαλείας εργάζονται προκειμένου να αναγνωρίσουν αυτή την καινούρια, μαζική απειλή.
[youtube=http://www.youtube.com/watch?v=wKI5dg1cs74&w=640&h=385]