[NEWS] Allerta: Siti Web Compromessi e Rootkit

[c.m.g]

Marco Giuliani, malware analyst dell'azienda di sicurezza Prevx, ha pubblicato un ottimo articolo sul suo blog PC Al Sicuro (in italiano) e contestualmente sul blog ufficiale di Prevx (in inglese) in cui riporta le ultime notizie e interessanti dettagli sulla "moda del momento" in campo malware, quella di attaccare i siti web, compromettendoli e iniettando un javascript offuscato o un iframe che possa re-indirizzare i browser verso risorse nocive. Abbiamo già parlato ampiamente in news precedenti dell'attacco massiccio via Mpack che ha colpito migliaia di siti web italiani a fine Giugno, "secondo modalità ancora sconosciute". Come evidenzia Giuliani, è infatti interessante notare che "l'attacco ad Aruba non è stato il primo [né l'unico del genere] ma almeno altri due hosting provider sono caduti vittima di attacker".

Dal blog-post di Giuliani: "Il trend degli ultimi mesi sembra sia questo: compromettere i siti web iniettando codice malevolo. Cosa, dunque, [pensare di] … una delle regole più vecchie riguardo la sicurezza online: "non navigare in siti sconosciuti, solo se navighi su pagine conosciute e sicure sei salvo"? Ok, diciamo che questa regola al momento può essere oggetto di alcune critiche. Siti web ben noti e affidabili sono stati compromessi, un esempio è il sito web ufficiale di una famosa cantante italiana [Carmen Consoli] o, fatto di questi giorni, un famoso sito che approfondisce l'argomento rootkit [www.antirootkit.com].

Il punto comune è sempre il solito: il codice malevolo redirige a siti web contenenti una serie di script utilizzati per tentare exploit al fine di trasmettere malware all'interno dei sistemi vittima. Oltre a compromettere direttamente i siti web, si era diffusa un'altra moda: la creazione di pagine web fittizie ben indicizzate dai motori di ricerca in modo tale che potessero apparire praticamente in ogni ricerca fatta dagli utenti ... È stato il vettore principale di infezione del rootkit Gromozon" alias Rootkit.Dial.Call.


Sembra che attualmente queste vecchie tecniche di attacco siano state unite alle nuove: cioè i siti web compromessi re-indirizzano ad un payload infettivo Rootkit.DialCall. Giuliani spiega: "Il sito web della famosissima cantante italiana Carmen Consoli è stato infatti compromesso ed è stato inserito nella home page un iframe che punta ad un sito web esterno. Dopo che il sistema, non correttamente aggiornato in termini di sistema operativo e software, è stato attaccato con successo, un eseguibile con nome casuale viene installato nel sistema. Una volta eseguito, il malware si copia all'interno della directory di Windows come svchost.exe (attenzione, il malware si trova all'interno di ?:\WINDOWS\ e non all'interno di ?:\WINDOWS\SYSTEM32; quest'ultima, infatti, contiene la copia legale del file svchost.exe di Microsoft). Un'altra dll viene installata nella directory di Windows, denominata svchost.dll, con funzioni di rootkit user mode. Il codice della dll viene iniettato nei processi attivi in modo tale che il processo svchost.exe e alcune chiavi di registro siano nascoste". Il processo Svchost.exe tenta di scaricare dallo stesso indirizzo IP usato dall'iframe un altro file .txt, in realtà un file criptato che contiene informazioni utili al malware per scaricare altre componenti dell'infezione (ulteriori dettagli su PC Al Sicuro).

I ricercatori di Prevx hanno contattato lo staff del sito web attaccato e, al momento della stesura di questo articolo, l'iframe era ancora presente. Marco commenta: "Essendo una cantante famosa, considerando quanta gente navighi ancora in Internet senza le adeguate protezioni e senza software aggiornati ma, soprattutto, quanta gente non abbia ancora una connessione a banda larga, i danni di questa infezione possono essere, parlando in termini di denaro, particolarmente evidenti. In generale, tuttavia, è interessante vedere come l'Italia sia sempre più considerata come una palestra di allenamento per attacker informatici. Diversi hosting provider sono stati attaccati, migliaia di siti web sono stati modificati - inclusi siti web di due famosi cantanti italiani. Sembrerebbe che qualcosa dal punto di vista della sicurezza debba essere rivisto da chi offre un servizio, siano essi hosting provider o semplici webmaster che si dilettano nel mettere online propri server".

Fonte: Tweakness e Pc al sicuro.it

[lancetta]

ormai i virus writer hanno scoperto l'albero della cuccagna qui in Italia.... e questo la dice lunga sulla nostra attuale situazione informatica

[sampei.nihira]

Già ragazzi è un vero schifo e pena.....

Frà parentesi vi informo che il sito di ANTIROOTKIT.COM nonostante sia OFF line continua ad essere infetto.
Come ho evidenziato nel 3D di ANTIVIR.

Ecco l'exploit che è sempre il solito riconosciuto e fermato nel mio caso da ANTIVIR (EXP/HTML.Unk).

Avete letto dei commenti sui siti che girano su server LINUX ?

[lancetta]

Infatti:tutti continuano a viaggiare in rete con account admin windows non aggiornato eccetera (lo leggo anche qui sul forum) ....Italiani popolo di niubbi.... è normale che questo sia un terreno fertile per la monnezza della rete ... se poi ci mettiamo che anche i siti web sulla sicurezza si fanno bucare "stamm proprio appost!!!" come si dice dalle mie parti

[sampei.nihira]

Sotto Linux c'è una perenne diatriba se un sistema deve essere dotato di antivirus (non per la protezione del sistema Linux stesso) ma dei sistemi Windows.
Infatti ricordo che un sistema linux se interagisce con uno windows spesso si comporta come un "portatore sano".
Naturalmente la maggioranza dice "No,tanto quelli di windows hanno i loro mega-sistemi difensivi"......

In parte ha anche ragione sisupoika occorre rendere il sistema windows più protettivo alle fondamenta.

Troppo denaro in ballo !!

[xcdegasp]

un antivirus per linux io non lo vedrei necessario ma solo un surpluss... nel senso che se lo stesso antivirus per windows risulta inefficace a identificare una minaccia lo sarà senza alcun dubbio anche quello installato su linux. del resto le firme sono sempre quelle ipotizzando sempre l'antivirus della stessa azienda sia in windows che linux..

[c.m.g]

il tipo di attacco, sempre stando alle parole di Marco, è sconosciuto, quindi hanno sfruttato una falla non ancora identificata. sono un pò dubbioso sul fatto che i servers attaccati siano linux, chi lo ha affermato? e dove lo ha letto?
c'è comunque da aspettarsi un attacco anche a questo sito/forum nel futuro, ci scommetterei!

[lucas84]

Quote:

Originariamente inviato da c.m.g

c'è comunque da aspettarsi un attacco anche a questo sito/forum nel futuro, ci scommetterei!

Dalle mie fonti , hanno già preparato la batteria puntata verso la farm che ospita i server di hw

[c.m.g]

Quote:

Originariamente inviato da lucas84

Dalle mie fonti , hanno già preparato la batteria puntata verso la farm che ospita i server di hw

hehehe