« Un serveur du MIT (CSH-2.MIT.EDU) héberge un script malveillant activement utilisés par les cybercriminels pour scanner le web à larecherche de sites vulnérables » explique les chercheurs de BitDefender dans un blog.

Le script en question recherche une faille située dans phpMyAdmin, un outil d'administration de bases de données très utilisé sur le web. Lorsque le programme trouve un serveur fonctionnant  avec phpMyAdmin en version 2.5.6 jusqu'à 2.8.2, il exploite une faille dans l'application et injecte un code malveillant dans les sous-niveaux de la base de données.

La porte-parole de BitDefender, Loredana Botezatu, estime que "cette campagne d'attaque a commencé en juin dernier et a touché plus de 100 000 sites web compromis jusqu'à présent."

Des outils pour automatiser une technique ancienne

Les chercheurs de l'éditeur pensent que ces attaques sont liés au "Blackhole Exploit Pack", l'un des outils les plus populaires de "drive-by download" utilisé par les pirates. Les internautes visitant les sites compromis sont redirigés vers des liens, des applis Java pour mettre à jour son navigateur ou des plug-in et le tour est joué.

BitDefender a déclaré qu'il avait essayé d'alerter le MIT sur cette faille de sécurité sur leur serveur, mais n'a reçu aucune réponse. Cependant, les chercheurs de l'éditeur ont constaté que le serveur est toujours actif, mais les sites ne sont plus attaqués. Les pirates préfèrent en général utiliser des serveurs des grandes organisations car les requêtes envoyées par eux parviennent à contourner certain filtrage. Le fait que ces serveurs disposent de ressources importantes, ainsi qu'une forte bande passante les rend attrayants pour les cybercriminels.