Au cours de cette attaque, qui a d’abord été signalé par Armorize Technologies, MySQL.com, un site Internet légitime a été piraté et a délivré un JavaScript malveillant qui a créé un iframe invisible. L’iframe a permis la diffusion d’une attaque par téléchargements furtifs hébergée sur des serveurs extérieurs au site MySQL.com.

L’attaque a non seulement utilisé des sites dont on sait qu’ils font partie du réseau Shnakule, mais aussi de nouveaux serveurs d’attaque et de charge. L’hôte de l’attaque était l’un des nombreux sites malveillants hébergés sur un serveur que WebPulse avait déjà classé et bloqué comme hôte de programmes malveillants (malware), protégeant ainsi les utilisateurs de manière proactive de l’attaque lancée trois jours après. Durant les cinq jours au cours desquels le serveur a été utilisé, le Blue Coat Security Labs a identifié 81 sites de malware différents sur ce serveur.

Environ 400 000 personnes visitent MySQL.com chaque jour. Ce site constitue donc pour les cybercriminels une cible de choix, potentiellement très lucrative. L’injection d’iframes ciblait un grand nombre de pages documentant l’administration de bases de données. Si l’attaque n’avait pas été bloquée, elle aurait diffusé des programmes malveillants dont le but était de localiser des authentifiants de bases de données supplémentaires et leur emplacement sur le système des victimes. Ces informations auraient permis aux cybercriminels d’accéder à une foule d’informations potentiellement sensibles et de pirater d’autres systèmes.

Le réseau Shnakule représente environ 2000 noms d’hôte uniques par jour et jusqu’à 5708 en une seule journée. Sur une journée classique, le service WebPulse enregistre plus de 21 000 requêtes sur ce malnet. Shnakule a pour habitude de polluer les moteurs de recherche et d’utiliser de faux anti-virus pour lancer ces attaques. Mais depuis peu, il développe de nouveaux types d’attaque. En juillet, il a par exemple lancé une attaque de malvertising qui s’appuie sur des publicités malveillantes. Blue Coat a tout de même enregistré 15 000 requêtes d’utilisateurs pour cette attaque.

La défense collaborative WebPulse assure à 75 millions d’utilisateurs du monde entier une protection proactive contre ces nouvelles attaques.