Sicurezza web: oltre mezzo milione di pagine web compromesse da script maligno

Un nuovo attacco Web ha compromesso oltre mezzo milione di pagine online. Sui siti colpiti, ha riferito Trend Micro, è stato inserito uno script maligno (JS_SMALL.QT) derivante da una implementazione inadeguata del pacchetto PHP Bulletin Board (o phpBB, un noto programma software per la gestione di forum su Internet). Collegandosi a un sito infetto, gli utenti vengono a loro volta contagiati con una variante della famiglia ZLOB (TROJ_ZLOB.CCW) che finge di installare un codec video.

I visitatori scaricano i falsi codec video

Quando i visitatori scaricano i falsi codec video, effettuano in realtà il download di alcuni programmi Trojan in grado di modificare il server DNS e i settaggi del browser Internet del sistema coinvolto nell'attacco, rendendolo quindi vulnerabile anche a ulteriori minacce. Molti siti Web sono già stati compromessi con messaggi di spam fasulli con contenuti farmaceutici e pornografici. Pare che la prima infezione di questo tipo sia avvenuta a febbraio 2008 e gli episodi di infezione avrebbero riguardato forum e guest book, le cui pagine online sono ora inaccessibili in quanto reindirizzano automaticamente gli utenti verso un sito pornografico per il download di un finto codec video.

Un sito infetto per essere dirottati verso altre destinazioni online dalle quali vengono scaricate diverse forme

Secondo Ivan Macalintal, Advanced Threats Research Manager di Trend Micro, “Questo attacco è del tutto simile a quelli che rileviamo sul Web a livello mondiale; è sufficiente visitare un sito infetto per essere dirottati verso altre destinazioni online dalle quali vengono scaricate diverse forme di malware”. Il codice malware risiede su server situati a Columbus (in Ohio), a Concord (in California) e a Mosca. Questo attacco è molto probabilmente opera di una organizzazione cyber-criminale russa/ucraina già responsabile durante lo scorso anno della serie di attacchi ZLOB. Pochi giorni fa, sempre Trend Micro aveva identificato oltre 9.000 siti Web compromessi da un attacco Web che utilizza un programma SQL per inserire un codice Javascript per ridirigere istantaneamente gli utenti - naturalmente a loro totale insaputa - verso due URL pericolosi. Alcuni di questi URL mostrano un'immagine random sulla pagina Web, una routine utilizzata normalmente per visualizzare inserzioni pubblicitarie. La routine utilizza generalmente anche dei cookie per determinare il tempo in cui l'immagine rimane visualizzata e, nel caso, sostituirla con un'altra dopo un po' di tempo. Oltre a essere esposto a questi rischi, l'ignaro utente può essere indirizzato lungo una strada ancor più pericolosa che prevede il download dei malware JS_DLOADER.AEHM e TROJ_REALPLAY.BR, i quali a loro volta scaricano sul sistema infetto il codice maligno TROJ_AGENT.AKVP. Questo Trojan deposita una copia di sé ed effettua il download di un file contenente un elenco di siti pericolosi.

Le vittime dell'attacco figurano molteplici siti legittimi

Tra le vittime dell'attacco figurano molteplici siti legittimi di tutto il mondo appartenenti a vari settori: sanità, educazione, pubblica amministrazione ed entertainment. Il fatto che tali siti siano localizzati in diversi Paesi, tra cui India, Regno Unito, Canada, Francia e Cina, suggerisce l'uso di un tool automatico programmato appositamente per ricercare le vulnerabilità dei siti Web. Secondo Jamz Yaneza, Threat Research Program Manager di Trend Micro: "Gli attacchi multi-fase come questo potrebbero essere contenuti più facilmente seguendo delle semplici regole di sicurezza quando si decide di andare online con un sito. La mancanza di una reale pianificazione in materia di sicurezza sembra essere una delle cause principali alla base di questi attacchi. Se si vuole proteggere brand e reputazione di qualsiasi tipo di organizzazione, quando si implementano le nuove tecnologie Web è essenziale che ciò avvenga con piena conoscenza delle problematiche legate alla sicurezza". Gli autori di questo attacco sono gli stessi criminali responsabili degli attacchi nihaorr1.ccom condotti il 29 aprile 2008.

(14 maggio 2008)

© 2002-2012 Key4biz