malware: un link infetta oltre 300 mila pagine Web

malwarejpg.jpgSotto Natale, attenzione all’uso di carte di credito online

E’ emergenza malware su Internet e gli esperti di sicurezza di tutto il mondo si stanno scervellando per risolvere il problema, ma nel frattempo raccomandano: siate prudenti nell’uso delle carte di credito o nell’immissione di altri dati sensibili online.

“Oggi io mi guardarei bene dal fare shopping online, meglio pagare in contanti alla consegna con contrassegno” commenta Raoul Chiesa di Media Service.

Un’addetta alla sicurezza online ha identificato un nuovo attacco che ha infettato quasi 300 mila pagine Web con link che dirigono i visitatori verso un potente cocktail di “malware”, cioè codici maligni.  Gli attacchi – che in gergo sono del genere “SQL injection” – sono cominciati a fine novembre e a quanto pare sono il risultato del lavoro di una gang dedita alla produzione di malware relativamente nuova, scrive The Register, che ha intervistato Mary Landesman, ricercatrice di ScanSafe, un’azienda di sicurezza informatica acquisita di recente dalla Cisco Systems.

I siti hackerati contengono una cornice invisibile (“iframe”) che silenziosamente redirige gli utenti al sito 318x .com (abbiamo spostato il punto per non attivare il link altrimenti rischiate di caderci dentro), che sfrutta le vulnerabilità note in almeno cinque applicazioni.

Ieri, questa ricerca Web (http://search.yahoo.com/search?n=100&ei=UTF-8&va_vt=any&vo_vt=any&ve_vt=any&vp_vt=any&vd=all&vst=0&vf=all&vm=p&fl=0&p=%3Cscript+src%3Dhttp%3A%2F%2F318x.com%3E&vs=) mostrava oltre 294 mila pagine web che contenevano lo script maligno. Tra i siti infettati – scriveva ieri il Register – ci sono il yementimes .com, parisattitude .com e knowledgespeak .com. Ma nel frattempo si sono moltiplicati.

“Siamo gia’ a +600 siti contagiati qui in Italia” ci scrive in un’email Chiesa, che ci segnala per farci un’idea questa ricerca su Google. “Già dalla prima pagina di Google ne vedi un tot italiani, molto visitati. E’ un contagio esponenziale, con la sfortuna che siamo sotto Natale e moltissimi compreranno online e/o useranno e-banking. Insomma, uno scenario abbastanza catastrofico” commenta sconsolato.
La gente che visita pagine infettate riceve un link invisibile che attira codice da una serie di siti legati a 318x .com. Il codice cerca versioni insicure di Adobe Flash, Internet Explorer, e diverse altre applicazioni Microsoft, e quando sono state identificate le sfrutta per installare malware conosciuto come “Backdoor.Win3.Buzus.croo”. Il programma, abilitato al “rootkit” (il programma creato per avere il controllo completo al sistema senza bisogno dell’autorizzazione di utenti o amministratori), inserisce le credenziali bancarie e una serie di altre nefandezze.
Al momento, circa il due per cento delle richieste di link che vede ScanSafe sono di siti infettati dal link maligno, un’indicazione che “la minaccia è significativa”.

Questo genere di attacchi utilizza come prede le applicazioni Web poco sicure, che non ispezionano gli input degli utenti prima di passarli alla banca dati “back end” del Webserver. Sono uno tra i sistemi preferiti per aggiungere link maligni e contenuti a siti terzi e sono quello che ha permesso a Albert Gonzalez e altri hacker criminali di rubare oltre 130 milioni di numeri di carte di credito dalla società di carte di credito Heartland Payment Systems e altre quattro società.

Le impronte digitali lasciate in quest’ultimo attacco fa pensare agli esperti che i criminali sono nuovi al gioco della “SQL injection”. Attacchi di massa più sofisticati che utilizzano questo metodo, come l’infezione Gumblar, iniettano link unici generati dinamicamente che impediscono agli addetti alla sicurezza di localizzarli tramite le ricerche Web.

malware: un link infetta oltre 300 mila pagine Webultima modifica: 2009-12-14T10:14:00+00:00da milionidieuro
Reposta per primo quest’articolo

Lascia un commento