De kwaadaardige code die de afgelopen dagen op de website PHP.net actief was, gebruikte beveiligingslekken in Adobe Flash Player, Adobe Reader, Java en Internet Explorer om ongepatchte bezoekers met malware te infecteren, zo blijkt uit analyse van verschillende beveiligingsexperts.

PHP.net is de website van de gelijknamige populaire programmeertaal, die op miljoenen websites wordt gebruikt. De website zelf staat volgens Alexa op de 228ste plek van meest bezochte sites op internet. Uit voorlopig onderzoek van de PHP-ontwikkelaars blijkt dat er twee servers door de aanvallers zijn gehackt. Het ging onder andere om de server waar www.php.net op draaide.

De aanvallers plaatsen op de website kwaadaardige JavaScript-code. Deze code laadde weer een andere pagina, die controleerde welke plug-ins er op het systeem van de bezoeker waren geïnstalleerd. Naast de aanwezigheid van Adobe Flash Player en Java, werd er ook naar kwetsbare versies van Microsoft Silverlight en VLC Media Player gezocht, zo meldt beveiligingsonderzoeker Bart Blaze. Het is echter onbekend of er voor deze versies ook exploits zijn ingezet.

Malware

In het geval van een kwetsbare versie van Flash Player of de Java browserplug-in, werd er een exploit gebruikt om verschillende malware-exemplaren te installeren, waaronder Fareit, ZeroAccess, Zeus en zelfs verschillende ransomware-versies. Onderzoekers van Trustwave Spiderlabs zeggen dat er naast de exploit voor Adobe Flash Player er ook werd geprobeerd om een beveiligingslek in Internet Explorer aan te vallen dat Microsoft op woensdag 14 mei van dit jaar patchte.

Beveiligingsbedrijf AlienVault Labs laat weten dat er naast exploits voor de eerder genoemde programma's er ook werd gekeken of bezoekers een kwetsbare versie van Adobe Reader gebruikten. Op het moment dat de kwaadaardige code actief was werd de malware die het verspreidde door 5 van de 47 virusscanners op VirusTotal gedetecteerd.