Mpack all’attacco dei siti Web italiani

Un’ondata di attacchi informatici sta colpendo, in particolar modo, il nostro Paese e i siti turistici.

E’ allarme generale per un’ondata di attacchi informatici che sta
colpendo, in particolar modo, il nostro Paese.
Secondo Symantec, stando a
quanto dichiarato da Elia Florio, conosciuto esperto nel campo della sicurezza
informatica, il problema ingeneratosi in questi giorni è conseguenza
dell’utilizzo, da parte di un gruppo di malintenzionato, del kit “Mpack 0.86”.


Abbiamo atteso qualche ora prima di pubblicare la news nell’attesa di
ottenere chiarimenti sulle metodologie d’attacco utilizzate, informazione che,
per il momento, non è ancora trapelata.

Nel frattempo, centinaia e
centinaia di siti web italiani hanno visto le rispettive home page compromesse
mediante l’aggiunta di una tag IFRAME maligna facente riferimento ad indirizzi
IP legati a sistemi che ospitano componenti malware.

La modifica delle
pagine di siti web assolutamente legittimi è molto probabilmente diretta
conseguenza di problematiche relative alla configurazione software del server
utilizzato.

E’ possibile, inoltre – come puntualizza Florio –
che gli amministratori di molti siti web non siano a conoscenza della
situazione.


Per l’utente finale, quindi, che “naviga” sul web le
raccomandazioni sono le solite: utilizzare sempre un antivirus (da mantenere
sempre costantemente aggiornato) e provvedere all’installazione di tutte le
patch di sicurezza rilasciate periodicamente dai vari produttori relativamente
al sistema operativo e a tutte le applicazioni in uso.

Aggiungiamo,
inoltre, che l’adozione di un “personal firewall” in grado anche di filtrare i
contenuti potenzialmente nocivi presenti nelle pagine web può contribuire a
scongiurare qualunque tipo di rischio d’infezione.

Mpack è una
collezione di script PHP, sviluppati in modo professionale, che offrono una
vasta gamma di metodologie d’attacco per effettuare l’exploit di numerose
vulnerabilità di sicurezza ed eseguire così del codice nocivo sulle macchine
prese di mira. Mpack viene venduto da un’organizzazione russa: la sua
installazione è inoltre incredibilmente semplice.

Una volta effettuata
quest’operazione, il kit può essere sfruttato per aggiungere tag IFRAME
all’interno di pagine web ospitate su macchine vulnerabili, avviare campagne di
spam inserendo tag IFRAME maligni nel corpo del messaggio di posta elettronica,
attivare domini simili a quelli di siti web famosi ed inserendovi all’interno
componenti dannosi (attività di “typo-squatting”).

Grazie alla tag html
IFRAME aggiunta nei siti web attaccati e violati mediante l’uso di Mpack,
ogniqualvolta un utente visita il sito legittimo, il suo browser provvederà a
caricare anche il contenuto dell’IFRAME.

A questo punto, il server
maligno, cui fa riferimento la tag IFRAME, provvederà a stabilire il sistema
operativo ed il browser utilizzato dal client collegato selezionando
automaticamente le vulnerabilità che è possibile tentare di sfruttare. In questo
modo, il sistema dell’ignaro utente, qualora non risultasse aggiornato mediante
l’applicazione di tutte le patch di sicurezza, potrebbe essere a sua volta
infettato. Si tratta di una strategia d’attacco che rasenta la perfezione e che
può consentire, ad esempio caricando componenti trojan o keylogger, di “rubare”
all’utente informazioni sensibili o credenziali di accesso.

Trend Micro
fa presente che i siti attaccati sarebbero essenzialmente pagine web italiane
dedicato al turismo ed ai viaggi. Spiegazione: “Luglio è alle porte e per
l’Italia si apre la stagione del turismo e delle vacanze. Vi è anche la
probabilità che questi episodi siano in realtà solo una fase preparatoria per un
attacco ben più strutturato, da compiere durante l’imminente stagione italiana
delle vacanze
“.

Ad ogni modo, sono molti di più i siti web presi di
mira, come testimoniano le statistiche di Mpack (il kit raccoglie anche i dati
sui sistemi infettati globalmente e sulle nazoni maggiormente attaccate).


Per quanto riguarda il malware che viene scaricato sul sistema
dell’utente in risposta al download dell’IFRAME maligno, Trend Micro ha
identificato una serie di elementi nocivi (JS_DLOADER.NTJ, TROJ_PAKES.NC e
TROJ_AGENT.UHL) che sfruttano la vulnerabilità MS04-040 – peraltro molto datata
– per eseguire il download all’insaputa dell’utente. Abbiamo dato una rapida
occhiata alle vulnerabilità che Mpack può sfruttare.

A mero titolo
esemplificativo e senza volersi configurare, il nostro, come un elenco esaustivo
e definitivo (il kit viene continuamente migliorato con l’aggiunta di nuovi
script in grado di far leva su di una più vasta gamma di falle di sicurezza), i
vari file PHP consentono di avviare l’exploit su macchine che non dispongano
delle patch seguenti: MS06-006 (“Una vulnerabilità nel plug-in di Windows Media
Player con browser Internet non Microsoft può consentire l’esecuzione di codice
in modalità remota”); MS06-014 (“Una vulnerabilità nella funzione MDAC
(Microsoft Data Access Components) può consentire l’esecuzione di codice”);
MS06-044 (“Una vulnerabilità in Microsoft Management Console può consentire
l’esecuzione di codice in modalità remota”); MS06-055 (“La vulnerabilità in
Vector Markup Language può consentire l’esecuzione di codice in modalità
remota”); MS06-071 (“Una vulnerabilità in Microsoft XML Core Services può
consentire l’esecuzione di codice in modalità remota”).

Sono più di
10.000 i siti web attaccati.

L’hoster maggiormente preso di mira è
risultato essere Aruba che sta in queste ore tentando di far fronte
all’emergenza.

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome