Vorige week werd een nieuwe aanval ontdekt die subdomeinen van gehackte websites gebruikt voor het verspreiden van nep-virusscanners. De aanval wijzigt of creëert een htaccess-bestand om bezoekers die van zoekmachines en populaire websites afkomstig zijn, door te sturen naar scareware-sites. De redirects vinden ook plaats als opgevraagde pagina's niet bestaan of bij pagina's die een foutmelding geven. Het gebruik van een htaccess-bestand op deze manier is niet nieuw en vindt al jaren plaats.

Subdomeinen
Wat beveiligingsonderzoeker Denis Sinegubko opviel, was het gebruik van subdomeinen. Die wezen allemaal naar hetzelfde IP-adres waar op agressieve wijze nep-virusscanners werden aangeboden, maar het domein zelf wees naar een ander IP-adres. In sommige gevallen ging het om legitieme en geparkeerde websites.

"Dat betekent dat hackers toegang tot de DNS-gegevens van die second level domein hebben en ze kunnen wijzigen", aldus Sinegubko. De onderzoeker vermoedt dat aanvallers de inloggegevens van GoDaddy accounts hebben gestolen en misbruikt. Gegevens die waarschijnlijk bij een phishingaanval zijn buitgemaakt, maar ook het gebruik van malware sluit hij niet uit.

Trend
Of het een trend is durft hij niet te zeggen. "Het is duidelijk dat hackers hebben ontdekt dat subdomeinen van legitieme websites een oneindige bron van gratis domeinnamen voor hun aanvalssites vormen. Met toegang tot de DNS kunnen ze willekeurige subdomeinen aanmaken die naar hun eigen servers wijzen." De eigenaren van de gehackte domeinnamen hebben de creatie van de subdomeinen vaak niet door, aangezien ze zelden de DNS-gegevens controleren. Daarnaast kost het de hackers niets. Webmasters krijgen het advies om hun DNS-instellingen te controleren en hun account wachtwoord te wijzigen.