Según el El equipo de respuesta ante incidencias informáticas de Estados Unidos (CERT), el ataque ataca también a conocidas brechas del software de Adobe y las utiliza para instalar programas maliciosos en los equipos de las víctimas. Es entonces cuando el programa roba las credenciales para acceder al FTP de las víctimas y utiliza esa información para expandirse. También secuestra el navegador sustituyendo los resultados de búsquedas de Google por enlaces elegidos por los hackers.

Los expertos en seguridad empezaron a rastrear el ataque el pasado marzo, cuando había infectado a cientos de páginas web, pero en las últimas semanas el número de sites infectados se ha elevado drásticamente. El ataque se ha denominado Gumblar porque en un momento dado utilizó el dominio Gumblar.cn, aunque ya ha cambiado a otro diferente.

El proveedor de seguridad ScanSafe ha contabilizado más de 3.000 sitios web infectados, frente a los 800 de hace una semana. Mary Landesman, investigadora de seguridad senior de esta compañía, califica de inusual este crecimiento continuado. Y es que en los últimos años los hackers han lanzado muchos ataques web de gran alcance, pero después de unos meses el número de páginas infectadas ha remitido a medida que el administrador de la web limpiaba los servidores.

Con Gumblar, más y más sites están ahora infectados. Landesman cree que se debe a que sus creadores han sido muy buenos a la hora de confundir el código de ataque y hacerlo difícil de detectar en los sitios infectados. Y dado que han estado robando las credenciales de login para el FTP, han podido utilizar nuevos trucos para introducir su software en estos sites. “Estamos haciendo cosas como cambiar los permisos de las carpetas... y olvidando otras múltiples formas por las que los hackers pueden entrar en el servidor”, apunta la experta.