Websense a publié son alerte en fin de semaine dernière, annonçant la compromission de plus de 20 000 sites Web. Depuis, les chiffres ont été gonflés, 30 000 puis 40 000 selon eWeek qui a interrogé le responsable de la recherche en sécurité informatique de Websense Security Labs.
Ces sites ont été compromis par l'injection d'un code JavaScript malveillant et caché, qui mène à un site dont le domaine peut sembler légitime car ressemblant à celui d'un site Google Analytics ( typosquatting ). De là, les infortunés internautes sont orientés vers le site piégé Beladen.net, hôte de plusieurs exploits.
Ce site se met en quête de vulnérabilités non corrigées sur la machine de l'internaute. Si aucune vulnérabilité n'est découverte, l'attaque n'est pas tout à fait avortée, et une fenêtre popup tente un coup de bluff en indiquant à l'utilisateur que son PC est infecté, histoire de le convaincre d'installer un faux antivirus.
Websense qui suspecte le groupe Russian Business Network d'être à l'origine de cette vaste attaque, n'a par contre donné aucun nom quant aux sites compromis. Pas de gros poisson piégé à priori.