c.m.g
22-05-2009, 07:20
venerdì 22 maggio 2009
Roma - Prende in ostaggio i siti altrui e da lì agisce per manipolare i risultati di ricerca di Google: Gumblar, diffuso già dallo scorso marzo, si è fatto più aggressivo nelle ultime settimane grazie anche ad un morphing di dominio.
Ed è stata proprio la crescita esponenziale nel numero di infezioni, da 800 a 3000 casi segnalati nell'ultima settimana, secondo ArsTechnica (http://arstechnica.com/security/news/2009/05/gumblar-exploit-hijacking-websites-and-picking-up-steam.ars), ad attirare l'attenzione degli analisti di sicurezza e della stessa unità anticrisi informatica federale USA, il Computer Emergency Readiness Team (US-CERT (http://www.us-cert.gov/current/index.html#gumblar_malware_attack_circulating)).
Attraverso Gumblar, spiega (http://www.pcworld.com/article/164899/new_wave_of_gumblar_hacked_sites_installs_googletargeting_malware.html) PCWorld, i cracker puntano a modificare in modo artificioso i risultati di ricerca ottenuti sulle macchine infette, indirizzando gli utenti verso siti fraudolenti o comunque pericolosi. Il virus agisce secondo un tipico schema multi-stage. Dapprincipio Gumblar si "intrufola" nei siti sfruttando le falle presenti nelle applicazioni web meno protette e nelle configurazioni locali delle macchine, o più semplicemente attraverso credenziali FTP rubate.
Dopodiché, una volta che un utente ignaro visita uno dei siti infetti, installa sui computer-bersaglio il proprio malware attraverso una qualsiasi delle falle che riesce a scovare. Da questo momento in poi, gli utenti che svolgono dei search con Google dalla macchina infettata vedono i propri risultati di ricerca alterati, con la comparsa di URL che rimandano a spazi illegali.
Ma l'installazione del malware sul singolo server è funzionale anche alla sua propagazione successiva. Se le macchine di coloro che visitano il sito infetto non sono debitamente aggiornate - con particolare riferimento, spiega US CERT, ai software per la visualizzazione per PDF e Flash - il malware si trasmetterà anche a queste ultime. Tentando anche qui di trafugare credenziali, distorcere i risultati di ricerca e diffondersi ulteriormente.
La prima ondata di attacchi Gumblar risale allo scorso marzo, e sulle prime sembrava che il fenomeno potesse essere arrestato. Il virus era stato esaustivamente descritto sui siti di settore (http://blog.scansafe.com/journal/2009/5/14/gumblar-qa.html), e gli stessi responsabili security di Google avevano provveduto a escludere dai propri database i siti infetti. Ma tanto ottimismo era mal riposto. Nelle scorse settimane, spiega uno dei blog di ScanSafe, il malware in questione ha subito un nuovo morphing (http://blog.scansafe.com/journal/2009/5/18/gumblar-morphs-again-now-martuzcn.html), in virtù del quale il codice maligno non viene più ripreso dal dominio gumblar.cn ma da un altro, martuz.cn. Ed è così che il virus ha ripreso a diffondersi.
Giovanni Arata
Fonte: Punto Informatico (http://punto-informatico.it/2628501/PI/News/gumblar-confonde-google.aspx)
Roma - Prende in ostaggio i siti altrui e da lì agisce per manipolare i risultati di ricerca di Google: Gumblar, diffuso già dallo scorso marzo, si è fatto più aggressivo nelle ultime settimane grazie anche ad un morphing di dominio.
Ed è stata proprio la crescita esponenziale nel numero di infezioni, da 800 a 3000 casi segnalati nell'ultima settimana, secondo ArsTechnica (http://arstechnica.com/security/news/2009/05/gumblar-exploit-hijacking-websites-and-picking-up-steam.ars), ad attirare l'attenzione degli analisti di sicurezza e della stessa unità anticrisi informatica federale USA, il Computer Emergency Readiness Team (US-CERT (http://www.us-cert.gov/current/index.html#gumblar_malware_attack_circulating)).
Attraverso Gumblar, spiega (http://www.pcworld.com/article/164899/new_wave_of_gumblar_hacked_sites_installs_googletargeting_malware.html) PCWorld, i cracker puntano a modificare in modo artificioso i risultati di ricerca ottenuti sulle macchine infette, indirizzando gli utenti verso siti fraudolenti o comunque pericolosi. Il virus agisce secondo un tipico schema multi-stage. Dapprincipio Gumblar si "intrufola" nei siti sfruttando le falle presenti nelle applicazioni web meno protette e nelle configurazioni locali delle macchine, o più semplicemente attraverso credenziali FTP rubate.
Dopodiché, una volta che un utente ignaro visita uno dei siti infetti, installa sui computer-bersaglio il proprio malware attraverso una qualsiasi delle falle che riesce a scovare. Da questo momento in poi, gli utenti che svolgono dei search con Google dalla macchina infettata vedono i propri risultati di ricerca alterati, con la comparsa di URL che rimandano a spazi illegali.
Ma l'installazione del malware sul singolo server è funzionale anche alla sua propagazione successiva. Se le macchine di coloro che visitano il sito infetto non sono debitamente aggiornate - con particolare riferimento, spiega US CERT, ai software per la visualizzazione per PDF e Flash - il malware si trasmetterà anche a queste ultime. Tentando anche qui di trafugare credenziali, distorcere i risultati di ricerca e diffondersi ulteriormente.
La prima ondata di attacchi Gumblar risale allo scorso marzo, e sulle prime sembrava che il fenomeno potesse essere arrestato. Il virus era stato esaustivamente descritto sui siti di settore (http://blog.scansafe.com/journal/2009/5/14/gumblar-qa.html), e gli stessi responsabili security di Google avevano provveduto a escludere dai propri database i siti infetti. Ma tanto ottimismo era mal riposto. Nelle scorse settimane, spiega uno dei blog di ScanSafe, il malware in questione ha subito un nuovo morphing (http://blog.scansafe.com/journal/2009/5/18/gumblar-morphs-again-now-martuzcn.html), in virtù del quale il codice maligno non viene più ripreso dal dominio gumblar.cn ma da un altro, martuz.cn. Ed è così che il virus ha ripreso a diffondersi.
Giovanni Arata
Fonte: Punto Informatico (http://punto-informatico.it/2628501/PI/News/gumblar-confonde-google.aspx)