Forskare på säkerhetsföretaget Symantec har nu upptäckt ytterligare ett verktyg för angrepp mot webbläsare. Verktyget tros ha varit aktivt i åtminstone sex månader och installeras på en dedikerad server, som sedan hyrs ut till intresserade hackare.

Genom att injektera elak kod på legitima sajter, omdirigeras webbläsare till den server där Tornado finns. Väl där aktiveras ytterligare skadlig kod som utför de angrepp hackaren slutligen planerat.

Tornado Statistik

Det som gör produkten något unik är dess affärsmässighet. Bland genererar den statistik som hjälper hackare med beslutsunderlag gällande framgången hos angrepp och dess potential. Genom att analysera statistiken blir det exempelvis möjligt att lära sig de mest lönsamma metoderna samt skapa statistiska profiler över offer.

Verktyget har även avancerad funktionalitet som ger viss interaktion för besökare som omdirigeras till den elaka servern en andra gång. Bland annat kan meddelanden av typen ”Det här kontot har blivit spärrat. Var god kontakta kundtjänst omgående.” visas för att försöka skapa legitimitet och dölja vad som egentligen skett. Samtidigt utgör meddelandet ett skydd mot säkerhetsföretag som besöker sidan fler mer än en gång i syfte att analysera koden.

Skaparna av Tornado håller, som man kan gissa, en låg profil, och de antal servrar som används till Tornado tros vara relativt få.

Läs även om hur CNN skyddade sig mot kinesisk attack

Källa: Networkworld