El dominio de Gumblar Malware está activo nuevamente

Los investigadores de ScanSafe están viendo renovados actividad con respecto a Gumblar, una pieza de malware multifuncional que se propaga atacando PC visitando páginas web pirateadas.

Gumblar puede robar credenciales de FTP así como secuestrar búsquedas de Google, reemplazando resultados en equipos infectados con enlaces a otros sitios maliciosos. el malware Gumblar se encontró en marzo, buscaba instrucciones en un servidor en gumblar.cn. Ese dominio fue desconectado en ese momento, pero se ha reactivado en las últimas 24 horas, escribió Mary Landesman, investigadora principal de seguridad de ScanSafe, en un blog de la compañía.

[Más información: cómo eliminar el malware de su PC con Windows]

Los sitios web que están infectados con Gumblar contienen un iframe, que es una forma de llevar el contenido de un sitio web a otro. Los escritores de malware suelen hacer esos iframes invisibles. Cuando una víctima visita el sitio, el iframe iniciará una serie de exploits alojados en una computadora remota para intentar hackear la máquina visitante.

Gumblar comprueba si la PC de la víctima ejecuta versiones sin parchear de Adobe Systems 'Reader y Acrobat. programas. Si es así, la máquina se verá comprometida por una llamada descarga en marcha.

Los registradores de nombres de dominio a menudo suspenderán los nombres de dominio que se han usado con fines maliciosos, y los creadores de malware generalmente cambiarán frecuentemente los dominios que su software para obtener instrucciones ya que esos dominios malos están en la lista negra. Por alguna razón, el dominio gumblar.cn fue liberado y está en uso nuevamente.

Landesman escribió que los sitios web que aún están infectados con Gumblar ahora pueden volver a llamar al dominio recién activado. Permitiría que esas PC infectadas se actualicen con nuevo malware.

"Es un desastre", escribió Landesman. "Estén atentos".