Partono i primi attacchi drive-by pharming, in grado di modificare l’impostazione dei dispositivi di rete senza autorizzazione.
Gli esperti di Symantec hanno da poco individuato i primi tentativi di attacchi cosiddetti drive-by pharming. Si tratta di attacchi nei quali un aggressore remoto, mettendo a punto a pagina web maligna facente uso di uno speciale codice Javascript, potrebbe essere in grado di modificare, senza alcuna autorizzazione, la configurazione del router utilizzato dall’utente.
In particolare, questi potrebbe forzare la modifica del server DNS utilizzato reindirizzando così le richieste di accesso ai siti più famosi, fidati e conosciuti verso pagine web dannose, creati con lo scopo di indurre l’utente a digitare username e password personali per l’accesso a servizi web, conti correnti online e così via.
In particolare Symantec segnala attacchi dove gli aggressori inseriscono del codice nocivo in un messaggio di posta elettronica che invita l’utente a visionare una cartolina d’auguri sul web. Il messaggio di posta elettronica contiene una tag IMG che provvede ad effettuare una richiesta HTTP GET ad un popolare modello di router (almeno in Messico, dato che l’attacco sembra essere partito da questa nazione).
La richiesta GET provvede a modificare le impostazioni DNS del router in modo tale che le connessioni a siti web di istituti di credito venga dirottate su server gestiti dagli aggressori.
Da Symantec si osserva come questo tipo di attacco, sferratto su un preciso modello di router, non richieda nemmeno la conoscenza delle credenziali amministrative del dispositivo.
Nel febbraio dello scorso anno, la società aveva effettuato uno studio che evidenziava come sia possibile preparare un’unica pagina web maligna in grado di modificare la configurazione delle tre marche di router più diffusi ovvero D-Link, Linksys e Netgear. Il rischio è concreto perché è sufficiente visitare un sito web dannoso che faccia uso di una simile pagina web da una qualunque workstation collegata al router.
