De grootschalige hack van 40.000 websites die vorige week werd gemeld, is nog altijd gaande en onderzoekers die beweren dat de impact wel meevalt, hebben er niet voldoende kaas van gegeten, aldus Websense. De "Nine-ball" aanval werkt als de meeste webaanvallen vandaag de dag. Legitieme sites worden gehackt en voorzien van een exploit, die weer bezoekers infecteert. In het geval van Nine-ball gaat het om een oud lek in Windows en de AOL SuperBuddy, een QuickTime-lek uit 2007 en drie lekken in Acrobat Reader, te weten uit 2007, 2008 en 2009.

Sinds de aanval in de media kwam, is het aantal sites iets gedaald. Toch gaat het nog steeds om 30.000 websites. "Net als iedereen volgen aanvallers het nieuws. Als ze weten dat je hen volgt, veranderen ze hun koers. Verwacht dus veranderingen in de payload sites en het gebruik van andere hosts om naar door te verwijzen."

Kritiek
Volgens concurrent ScanSafe is het nieuws rondom Nine-ball enorm opgeblazen en zou het helemaal niet om zoveel gehackte websites gaan. Het bedrijf kreeg namelijk geen waarschuwingen op de eigen sensoren. "Deze aanval is zo goed als niet bestaand." Mary Landesman van ScanSafe vraagt zichzelf af of het wel terecht was om er een blogposting aan te wijden. De kritiek is ook bij Websense aangekomen. "De Nine-ball" aanval is complexer dan de meeste aanvallen, en moeilijker voor onervaren onderzoekers om te volgen en te begrijpen."

Deze onervaren onderzoekers zouden alleen maar naar grote websites kijken om te zien of er een grootschalige aanval plaatsvindt. "De bewering dat het niet om een grootschalige aanval gaat is fout. Groot of klein, populair of niet, als tienduizenden websites worden gehackt, is dat zeker iets om te volgen en te bevestigen." De aanvallers weten de websites waarschijnlijk via gestolen FTP-gegevens te infecteren. Deze analyse gaat dieper op de aanval in.