De aanvallers die een website van het Amerikaanse Ministerie van Werkgelegenheid hackten en daar een exploit voor een onbekend beveiligingslek in Internet Explorer 8 verstopten, hebben minstens nog negen andere websites gehackt. Dat stelt beveiligingsbedrijf AlienVault Labs. Het gaat om websites van non-profitgroepen, instituten en een Europees defensiebedrijf.

De aanvallers passen de zogeheten 'drinkplaats-aanval' tactiek toe, waarbij websites worden gehackt die potentiële slachtoffers al uit zichzelf bezoeken. Hierdoor hoeven de aanvallers geen op maat gemaakte e-mails te maken en naar hun doelwit te versturen, met het risico dat de aanval wordt ontdekt of het doelwit de meegestuurde link of bijlage niet opent.

Aanval
AlienVault Labs ontdekte dat de gehackte websites bezoekers ook naar een andere kwaadaardige server op het domein sellagreement.com (198.96.92.107) doorstuurden, die een deel van de malware bevatte die ook op dol.ns01.us werd aangetroffen.

Beveiligingsbedrijf Invencea stelt dat de gebruikte malware zeer veel lijkt op de beruchte Poison Ivy Remote Access Trojan. De malware werd ten tijde van de aanval door 2 van de 46 virusscanners op VirusTotal.com opgemerkt. Sindsdien is de detectie grotendeels verbeterd.