Diversos analistas confirmaram a realização de um ataque em larga escala baseado em um kit de ataque exploit chamado “Mpack”. A mecânica dos ataques é complexa, mas essencialmente os criminosos usam um determinado código em um portal legítimo que, então, redireciona os visitantes para um servidor que contém o kit Mpack – uma coleção russa de exploits que tem uma interface de gerenciamento que detalha como cada brecha funciona e contra qual domínio de país.

Neste momento, as máquinas são infectadas por diversos códigos maliciosos, em sua maioria, keyloggers. “A gangue conseguiu comprometer centenas de sites legítimos da Itália”, dise Elia Florio, analista da Symantec, em um post em seu blog. “A lista de sites comprometidos é gigantesca e, segundo as estatísticas do Mpack, o ataque está sendo bastante eficiente”.

Florio afirma que a Symantec não tem números finais sobre quantos sites foram invadidos, mas acredita que a causa seja uma vulnerabilidade no nível do host. Paul Ferguson, arquiteto de rede da Trend Micro, afirma: “parece que os criminosos digitais são capazes de encontrar diversos sites frágeis, independente para o local que olham”.

Na sexta à noite, a Symantec definiu o número de sites comprometidos pelo Mpack em 6 mil; hoje, dados da Websense dão conta que esse número atingiu mais de 10 mil. “Esse número é fenomenal”, diz Ferguson, que acrescentou que os ataques antecessores que usaram o kit não registraram mais do que algumas centenas de vítimas.

Telas da interface de gerenciamento do Mpack foram postadas pela Websense nesta segunda. Ainda que a maior parte das vítimas usem endereços IP da Itália, máquinas em outras partes do mundo não estão imunes. A Trend Micro identificou sites controlados por criminosos digitais na Califórnia e Ilinois, nos Estados Unidos.