Um ataque injeta códigos maliciosos em mais de 40 mil sites, transformando-os em hospedeiros distribuidores de malwares.

De acordo com alerta da Websense, o Nine-Ball, como é chamado, injeta em sites um código disfarçado que provoca redirecionamentos em múltiplos níveis e instala um cavalo de troia na máquina do usuário.

O nome Nine-Ball, ou nove rebatidas, refere-se exatamente a essa cascata de redirecionamentos.

O usuário visita um site legítimo infectado e seu browser é remetido sucessivamente para vários sites até o nono. Assim, o IP do visitante é gravado. Na primeira visita, o passo final é a implantação de um cavalo de troia na máquina. Nas seguintes, como o site já tem o número IP, o usuário é remetido para um site legítimo e sem infecção, o Ask.com.

No último acesso, o código malicioso tenta explorar falhas de segurança conhecidas e já corrigidas do Windows, do mensageiro instantâneo da AOL e também brechas do Adobe Acrobat Reader e do QuickTime. Se existe uma dessas brechas no sistema, o arquivo Socket2.dll é baixado para a pasta de sistema, no computador do usuário.

O objetivo principal desta invasão é roubar informações confidenciais do usuário, como senhas e logins.