Hackers gebruiken het ernstige Java-lek bij het uitvoeren van gerichte aanvallen, ook vinden er steeds meer aanvallen op internetgebruikers plaats. Gisteren verscheen er een noodpatch voor het lek. Anti-virusbedrijf ESET ziet sinds woensdag gerichte aanvallen en aanvallen op bredere schaal.

De exploitcode is inmiddels op bekende kwaadaardige hosts aangetroffen die op zoveel computers als mogelijk malware proberen te installeren. Het gaat om tenminste 145 verschillende distributiepunten voor de exploitcode. De meeste pagina's worden in Rusland gehost. De exploit blijkt opvallend genoeg niets te doen, omdat het kwaadaardige JAR (Java ARchive) bestand, dat voor de tweede fase van de aanval vereist is, niet op de server staat. "Het is waarschijnlijk slechts een kwestie van tijd voordat deze distributiepunten worden gebruikt voor het installeren van malware", zegt onderzoeker Pierre-Marc Bureau.

Gerichte aanvallen
De virusbestrijder ziet verschillende kwaadaardige bestanden met namen en folders als "test". "Dat doet ons vermoeden dat de aanvallers nog steeds hun aanval aan het voorbereiden en testen zijn", gaat Bureau verder. De aanval is volledig gebaseerd op de proof-of-concept (PoC) van Tavis Ormandy. "De aanvallers hebben niet eens de moeite genomen om de opmerkingen aan het eind van de PoC te verwijderen." Het enige dat veranderd is, is de URL waar de malware staat.

De onderzoeker maakt zich meer zorgen over de gerichte aanvallen. Vooralsnog gaat het om tenminste één geval waarbij een uitvoerbaar bestand werd gedownload en uitgevoerd. Het ging om een bestand dat de afgelopen twee weken ook bij politiek gemotiveerde aanvallen werd ingezet. Beveiligingsbedrijf FireEye heeft inmiddels een analyse van de exploit en de hosts die hem aanbieden online gezet.