Italia nel mirino: altri siti web compromessi?

Il panorama italiano della sicurezza informatica non sta godendo di ottima salute, così come riportano i maggiori siti internazionali. Secondo alcune società di sicurezza lo stivale d'Europa sarebbe al centro di continui attacchi informatici ai siti web.

Tornando indietro di qualche mese, infatti, è stato possibile vedere come alcune società che forniscono servizi di hosting siano state prese di mira da pirati informatici che sono riusciti, attraverso modalità sconosciute, ad avere accesso ai siti web ospitati e ad iniettare all'interno del codice html dei javascript offuscati o iframe nocivi.

Prima Hosting Solutions, che si è visto modificare centinai di siti web tra cui il sito del noto cantante italiano Roberto Vecchioni. Poi è stato il turno di Aruba con l'attacco ribattezzato dalle società di sicurezza come italian job, nel quale migliaia di siti web sono stati compromessi.

Un trend, quello degli attacchi ai siti web, che si va ad unire ad un'altra moda già molto diffusa nel corso dello scorso anno e principale vettore di attacco di Gromozon e di un altro rootkit, denominato dalla società di sicurezza inglese Prevx Rootkit.DialCall. Secondo Prevx, sembrerebbe che i due vettori di attacco stiano ora convergendo o, perlomeno, tra i team di pirati informatici che ci sono alle spalle sembrerebbe esserci qualche forma di dialogo.

Infatti, dopo il sito di Vecchioni, un'altra famosa cantante italiana avrebbe visto compromesso il proprio spazio web: Carmen Consoli. Il sito contiene infatti un frame che reindirizza i bmsrowser verso un altro IP contenente degli exploit per installare automaticamente malware all'interno del pc dell'utente ignaro.

Una volta eseguito il giusto exploit, riporta Prevx, vengono installati due malware all'interno della directory principale di Windows, sottoforma di svchost.exe e svchost.dll. Da non confondere con il legittimo file svchost.exe presente all'interno della directory di sistema di Windows, il falso svchost.exe è infatti un vettore di infezione che scarica altro malware all'interno del pc, mentre svchost.dll contiene funzionalità di rootkit user mode per nascondere il processo del malware ed alcune chiavi di registro.

Il malware scarica poi un adware all'interno del sistema ed un dialer appositamente studiato per le linee italiane. Come sottolinea la società inglese, se di per sé il rischio per chi naviga con il sistema correttamente aggiornato e protetto è minimo, è altrettanto vero che molte sono le persone che non aggiornano il sistema operativo Windows o i software installati su di esso. Se a ciò si aggiunge che si tratta del sito di una nota cantante italiana e molti utenti non possono usufruire di connessione a banda larga per cui utilizzano ancora modem analogico - vittima prescelta del dialer - il rischio, in termini di denaro, si eleva notevolmente.

"Se i pirati informatici tempo fa attaccavano i siti web per il semplice scopo di far vedere come fosse possibile farlo (defacing), ora invece hanno capito come poter creare un danno reale agli utenti iniettando malware in siti web affidabili" ha dichiarato Marco Giuliani, malware analyst per Prevx, il quale ha poi continuato affermando che la sicurezza di un sito web non deve essere presa alla leggera poiché - sia si tratti di una società di hosting o un semplice utente che vuole mettere su un server - non si tratta più esclusivamente di un loro problema se avviene un attacco ma si mette in pericolo qualunque navigatore sfogli il sito web credendolo un posto sicuro e rischiando, invece, di ritrovarsi il pc infetto.

Fonte: Prevx