Allerta Trend Micro per un massiccio attacco web

Sicurezza

Colpiti oltre 2.000 siti con l’obiettivo di sottrarre informazioni personali
come password e numeri di conti correnti

Da sabato scorso migliaia di siti web italiani sono sotto attacco. Trend Micro ha individuato un nuovo malware che si sta diffondendo in modo totalmente incontrollato e che agisce con la stessa modalità di Linkoptim, il malware che sfruttava un certo numero di siti Web italiani legittimi per diffondere esemplari di codice JavaScript pericoloso. Individuato da Trend Micro come HTML_IFRAME.CU, il nuovo script maligno reindirizza verso siti Web illegali l’utente che sta navigando su siti italiani assolutamente legittimi. Questi siti vengono in realtà manomessi per inserire dei tag IFRAME maligni che, in maniera automatica, connettono l’ignaro utente a un server che ospita programmi malware. Accade quindi che l’utente scarichi inconsapevolmente codice pericoloso sul proprio computer. Trend Micro ha identificato il malware scaricato come JS_DLOADER.NTJ, TROJ_PAKES.NC, e TROJ_AGENT.UHL, che sfrutta la vulnerabilità MS04-040 per eseguire la routine di download. La maggior parte dei siti Web legali oggetto di violazione ricade nei settori del turismo, dell’industria automobilistica, dei film e della musica, dei servizi al cittadino, oltre ad alcuni siti di comuni italiani e di hotel. A quanto pare, molti dei siti in questione sono gestiti da uno dei più importanti Web provider italiani. Ma perché prendere di mira dei siti italiani? Il motivo è semplice: luglio è alle porte e per l’Italia si apre la stagione del turismo e delle vacanze. Vi è anche la probabilità che questi episodi siano in realtà solo una fase preparatoria per un attacco ben più strutturato, da compiere durante l’imminente stagione italiana delle vacanze. La lista di siti Web violati è composta prevalentemente da siti di natura turistica, molto probabilmente per il fatto che il periodo delle vacanze è ormai alle porte. Nella lista compaiono anche siti con contenuti per soli adulti. Alcuni degli indirizzi violati sono siti ufficiali di club, gruppi, fan, protagonisti del mondo del cinema, della musica, della moda. Mirare ai siti pornografici è la mossa più logica nella mente di un hacker, innanzitutto per il fatto che il sesso vende di per sé; e utilizzare qualcosa che vende senza problemi è sicuramente un’ottima strategia per attirare un determinato target. In questo caso lo scopo è attirare il maggior numero di visitatori possibile: una volta connessi, infatti, gli utenti subiscono l’attacco. Per violare questi siti italiani, i responsabili stanno utilizzando il kit di malware MPack versione .86. Addirittura, una release più recente di MPack, versione .9, si sta rapidamente diffondendo tra gli hacker e offrirebbe nuove funzionalità per supportare gli attacchi malware. Di conseguenza i futuri episodi di violazione potrebbero essere ancora più devastanti causando danni davvero gravi.

Autore: ITespresso
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore