Tysiące stron internetowych padło już ofiarą masowego ataku SQL Injection w wyniku, którego do baz danych wpadł niebezpieczny skrypt nazwany "LizaMoon". Do wstrzyknięcia skryptu twórcy tego zagrożenia wykorzystują luki w stronach internetowych, które umożliwiają im wprowadzenie niebezpiecznego kodu do bazy danych za pomocą techniki SQL Injection.
Na zainfekowanej skryptem stronie, wykonuje się niebezpieczny kod JavaScript, który podstępnie przekierowuje odwiedzającego użytkownika na potencjalnie niebezpieczną stronę internetową.
Poniższy kod jest wstrzykiwany do baz danych metodą SQL Injection, a następnie na zainfekowanej stronie dla potencjalnego odwiedzającego wykonuje kod JavaScript z serwera LizaMoon.com (IP: 91.213.29.182).
Wklejany niebezpieczny skrypt pozwala wykonywać przekierowanie na niebezpieczną stronę internetową, w tym przypadku jest to strona zawierająca niebezpieczny program, znany jako Rogue AV.
Według wujka Google zainfekowanych niebezpiecznym skryptem jest już ok. 252 tysiące adresów stron internetowych. Nazwa "LizaMoon" jak można się domyśleć jest związana z nazwą domeny rozpowszechniającej złośliwy skrypt.
Informacje o niebezpiecznej domenie, która została zarejestrowana niedawno (25 marca). Kolejne domeny biorące udział w tym incydencie: alisa-carter.com,
alexblane.com oraz
t6ryt56.info.
Zalecamy jak najszybsze zablokowanie niebezpiecznej domeny oraz sprawdzenie swoich baz danych w poszukiwaniu powyższego niebezpiecznego skryptu. Źródło: community.websense.com
