Letta 3488 volte 16 giugno 2007 alle 04.56 di netquik Fonte: Varie
Italia: Sotto Attacco con MPack
LINK:
Symantec segnala sul blog del suo Security Response di aver verificato un attacco web su larga scala che sta attualmente colpendo numerosi siti web italiani. L'attacco Ŕ simile, almeno negli effetti e forse nelle modalitÓ di exploit, ad altri attacchi precedentemente segnalati sia su siti italiani (per esempio il caso della compromissione del sito del cantautore italiano Vecchioni, seguita da vicino da Marco Giuliani sul PC al Sicuro, e di un altro importante sito italiano, come segnalato giorni fa da Sophos) sia su siti esteri come riportato da Symantec a fine Maggio.

A quanto pare il nuovo attacco sfrutta un nuovo dominio finale ma esegue ugualmente i codici exploit del kit Mpack 0.86, un sistema di distribuzione malware simile al pi¨ famoso WebAttacker. Questo kit consiste in una collezione di componenti software PHP programmati accuratamente e progettati per essere hostati ed eseguiti su un server PHP con database lato backend. MPack, evidenzia Symantec, viene venduto da una gang russa giÓ pronto per essere installato su un server e corredato di moduli exploit da usare "out of the box". Una volta istallato e attivato il server, i cybercriminali non devono far altro che iniziare a generare traffico web browser verso di esso. Come: eseguendo l'hacking di siti web popolari ed aggiungendo alle pagine web porzioni di codice IFRAME; attivando siti web di typo-squatting su domini popolari; eseguendo lo spamming di messaggi di posta con codice IFRAME integrato.

La prima metodologia descritta Ŕ esattamente quella utilizzata in questo nuovo attacco su larga scala che sta vedendo coinvolti un gran numero di siti italiani. I cybercriminali sono riusciti in qualche modo a compromette le homepage di centinaia di siti italiani, integrando in esse un IFRAME nocivo (che Symantec rileva come Trojan.Mpkit!html) che collega verso un indirizzo IP nocivo. Secondo Symantec, la lista di siti compromessi Ŕ giÓ "enorme" e secondo le statistiche, l'attacco sta funzionando con estrema efficienza per l'Italia (65 mila visitatori unici e 7 mila browser attaccati con successo).

Symantec afferma di non conoscere esattamente la metodologia utilizzata per compromettere questi siti, ma probabilmente il problema risiede in una vulnerabilitÓ o in un problema di configurazione a livello di ISP/hosting. Bisogna ricordare che, nel caso relativo alla compromissione del sito di Vecchioni, il problema sembrava essere stato isolato e da Hosting Solutions, uno dei pi¨ importanti hoster italiani, in quel momento preso di mira. Mancano tuttavia i dettagli sulla problematica. Ora, in base alla lista fornita da Symantec, sembra che siano i server di Aruba, altro importante hoster italiano, ad essere stati, in qualche maniera, attaccati dai cybercriminali con lo scopo di iniettare l'IFRAME nocivo nelle pagine web. In tutti i casi visti finora sembra che i server compromessi eseguano IIS/6.0 su Windows Server 2003. Giuliani, esperto di sicurezza, ha pubblicato poco fa un primo commento sulla vicenda, con gli indirizzi IP da bloccare.

╚ interessante analizzare lo scenario di attacco tramite il quale viene perpetrato questo tipo di cybercrimine. Un ignaro utente si collega ad un URL di un sito legittimo con il suo software web browser. Il sito Ŕ stato compromesso e modificato in modo da includere contenuti nocivi (nel caso specifico un IFRAME). Al caricamento del sito, viene eseguito anche il codice HTML malevolo, che si traduce in un richiesta verso un server intermedio che viene indirizzata successivamente al server target che ospita MPack. Il server MPack analizza l'header della richiesta HTTP e raccoglie informazioni come tipo di browser e sistema operativo utilizzati. Queste informazioni vengono quindi sfruttate per selezionare i codici exploit da inviare al browser dell'utente. Tutti i dati sul computer dell'utente, sugli exploit condotti con successo, e sul paese di origine vengono salvati sul server MPack. Una volta compromesso il computer attaccato, il codice shell istruisce il computer al download di un ulteriore file dal server MPack che viene eseguito. Ha cosý inizio l'ulteriore fase di compromissione ed infezione del computer.

Alla luce della notizia dell'attacco su larga scala raccomandiamo a tutti gli utenti italiani di prestare particolare attenzione durante la navigazione, che non deve mai essere eseguita senza la protezione di un antivirus aggiornato ed eventualmente di altri software di sicurezza utili a bloccare le infezioni web. ╚ altrettanto importante assicurarsi di aver applicato tutte glia aggiornamenti di protezione finora rese disponibili non solo da Microsoft ma anche dagli altri vendor. MPack infatti include codici exploit che attaccano vulnerabilitÓ presenti in componenti software diverse dal sistema, tra cui QuickTime e WinZip.
 non ci sono commenti alla news nel forum
username:   password:
oppure con Log in with FacebookLog In with Google
   ricordami
non fai parte della community?
 Esegui l'accesso per commentare questa notizia nel forum 
 
 ONLINE
OSPITI 6
UTENTI 0
VISITE OGGI
45
 VISITE TOTALI
5.549.723
login
username:
password:
oppure con Log in with FacebookLog In with Google
ricordami
Non fai parte della community?
Creative Commons License Valid CSS!Valid HTML 4.01 Transitional
 
NEWS - TRUCCHI - DOWNLOAD - ARTICOLI - SITO - DISCLAIMER
X