Een maand geleden werd een aanval ontdekt waarbij hackers de Twitter API gebruikten voor het aanmaken van nieuwe aanvalssites en uitvoeren van drive-by downloads, maar vanwege bugs werkte het script niet zo goed, toch blijft de Twitter API interessant voor hackers. Volgens beveiligingsonderzoeker Denis Sinegubko was de aanpak ook niet zo handig voor aanvallers, aangezien die elke dag handmatig een domeinnaam moesten registreren. De aanvalsvector werd dan ook gauw verlaten. Een aantal dagen geleden ontdekte Sinegubko een nieuwe aanval. De kwaadaardige scripts werden dit keer niet in de webpagina's geïnjecteerd, maar in externe .js bestanden, wat detectie lastiger maakt.

Algoritme
Het idee blijft echter hetzelfde. Kwaadaardige scripts op gehackte sites roepen via de Twitter API populaire Twitter onderwerpen op, en gebruiken die informatie voor het genereren van een pseudo-willekeurige domeinnamen van een aanval die op dat moment actief is. Als laatste wordt er een verborgen iframe geïnjecteerd dat malware van deze aanvalssite laadt. In dit geval gaat het om twee verzoeken naar Twitter, terwijl dat er eerst één was. Verder is ook het algoritme voor het genereren van de domeinnaam veranderd, maar heeft Sinegubko dit "gekraakt".

Hij verwacht dan ook dat door het open algoritme de aanval geen lang leven is beschoren. Nog te verschijnen websites kunnen zo proactief worden geblacklist of door de 'good guys' worden geregistreerd. Toch zitten ook de aanvallers niet stil, die nu een nieuwe aanpak onderzoeken en langzaam de domein generator naar hun proxy servers halen, zodat het voorspellen van nieuwe kwaadaardige domeinnamen niet meer mogelijk is.