Twee websites van het Israëlische Internationale Instituut voor Counter- Terrorisme (IDC) zijn door onbekende aanvallers gehackt en gebruikt voor een zogeheten drinkplaats-aanval op IE-gebruikers. Bij een drinkplaats-aanval wordt een website gehackt die potentiële slachtoffers uit zichzelf al bezoeken. Deze tactiek werd onlangs toegepast tegen werknemers van Microsoft, Apple en Facebook.

In dit geval werden de websites ict.org.il en herzliyaconference.org voorzien van een exploit die een beveiligingslek in Internet Explorer 6 t/m 9 misbruikt. Het gaat hier om een zero-day-lek in Microsofts browser die voor het eerst in september 2012 werd aangetroffen. De Israëlische websites zouden al sinds 23 januari van dit jaar de exploit aan bezoekers hebben aangeboden en doen dit nog steeds.

Exploit
Beveiligingsbedrijf Websense ontdekte iets opmerkelijks, namelijk dat de exploit op ict.org.il volledig functioneel is, maar dat de kwaadaardige code op herzliyaconference.org niet werkt. De pagina die de exploit aanroept is verwijderd. Hoewel er nog andere pagina's beschikbaar zijn, leveren die zonder de startpagina geen functionele exploit af.

Versleuteling
Een interessante tactiek die de aanvallers toepassen is dat de geinstalleerde malware als een verzameling bytes, die via XOR versleuteld is, op de webpagina beschikbaar is. Is de exploit succesvol, dan wordt er naar een speciale marker in het geheugen gezocht. Zodra deze marker wordt gevonden, wordt de lijst met bytes ontsleuteld en blijft er een binair bestand over.

Dit is de malware die vervolgens op het systeem wordt uitgevoerd. Volgens Websense is dit een interessante techniek die ook helpt bij het omzeilen van sandboxes. Het bedrijf waarschuwde het IDC dat de websites besmet zijn, maar heeft nog altijd geen reactie ontvangen.