Biztonsági cégek egy olyan támadási módszerre hívták fel a figyelmet, amelynek során a gyanútlan felhasználók adatai kártékony videók révén válhatnak kiszolgáltatottá.

A MySpace népszerű weboldalain egy újabb fenyegetettségre kell odafigyelniük a látogatóknak. A napokban ugyanis egy olyan újfajta támadási módszer bontakozott ki, amely speciálisan szerkesztett QuickTime videók révén próbálja megtéveszteni a felhasználókat, majd bizalmas adatokat igyekszik megszerezni.

Az eddigi vizsgálatok szerint a támadók több technikát is felhasználnak a céljuk eléréséhez. Egyrészt kihasználják a MySpace weboldalainak nemrég felfedezett sebezhetőségét, másrészt olyan QuickTime videókat szerkesztenek, amelyekhez JavaScript kódok is tartoznak. Ezek révén el tudják érni, hogy a látogató felhasználói profilja megváltozzon, és egy módosított menü töltődjön be. Amennyiben a felhasználó egy kártékony videót tölt le, majd rákattint a megváltoztatott menüre, akkor egy hamis MySpace belépési oldalra kerül. Ez a weboldal már a támadók irányítása alatt áll, tehát az itt megadott adatok az ő birtokukba kerülnek.

Az új támadások további veszélyt is rejtenek. Ennek oka, hogy a speciálisan szerkesztett QuickTime videók egy férget rejtenek. Amennyiben a kártékony program feltelepül a kiszemelt számítógépre, akkor a felhasználó címlistájában szereplő összes email címre egy spam üzenetet küld. Ebben egy kép mellett egy kártény weboldalra mutató link is szerepel. Amikor a címzett rákattint erre a hivatkozásra, akkor egy olyan weboldalra kerül, amely egy reklámprogramot tartalmaz. Chris Boyd, a FaceTime Communications szakembere elmondta, hogy a támadók célja ebben az esetben is a pénzszerzés, amit a kártékony weboldalról letöltődő reklámprogram is jól mutat.

A több mint 73 millió regisztrált felhasználót számláló MySpace eddig csak nagyon szűkszavúan nyilatkozott az új fenyegetettséggel kapcsolatban. Mindössze annyit közölt, hogy megbíznak azokban a technológiákban, amelyeket a partnereik szállítanak. Így a QuickTime-ban is annak ellenére, hogy a napokban a szoftver egyik – amúgy hasznos – funkcióját sikerült kártékony célokra felhasználni.