Исследователям из компании Armorize удалось обнаружить очередную волну кибератак, в результате которой в содержимое сайтов внедрялся тег iframe. Атаки проводились с использованием похищенных данных доступа к FTP- аккаунтам на сайтах. Обнаружить атаку стало возможным из- за ошибки, которую допустили хакеры. Последние забыли вставить тег <script> перед добавленным вредоносным кодом, после чего поисковая система Google сумел проиндексировать скомпрометированные страницы. Известно, что изначально было скомпрометировано 22 400 сайтов и 536 000 страниц было заражено вредоносным кодом. Наддо отметить, что к сожалению, злоумышленники уже исправили свою ошибку, и теперь Google больше не может использоваться для обнаружения скомпрометированных сайтов. По этой причине, выяснить какое на данный момент количество  зараженных страниц присутствует в Сети невозможно. Известно, что внедренный код перенаправляет посетителей сайтов через ряд переадресаций на страницу, содержащую модифицированную версию набора эксплоитов BlackHole (Чёрнаая дыра).

Данный набор эксплоитов использует уязвимости в операционной системе Windows, и таких популярных приложениях как Java, Adobe Reader и Flash Player. Эксплоиты устанавливают поддельные антивирусные решения на компьютеры жертв. Название поддельных антивирусных решений применяется в зависимости от операционной системы, установленной на компьютере жертвы. Для Windows XP – это «XP Security 2012», для Windows Vista – «Vista Antivirus 2012» и «Win 7 Antivirus 2012» - для Windows 7. Согласно данным исследователей компании Armorize, домены, на которые перенаправлялись пользователи, зарегистрированы в Молдове, а сервера, на которых находились эксплоиты, расположены в США. Как мы уже сказали ранее, для внедрения тега iframe в контент сайта, мошенники использовали похищенные учетные данные пользователей, используемые для доступа к сайту с помощью FTP.