[NEWS] Gumblar confonde Google

c.m.g · 22-05-2009, 08:20

venerdì 22 maggio 2009

Roma - Prende in ostaggio i siti altrui e da lì agisce per manipolare i risultati di ricerca di Google: Gumblar, diffuso già dallo scorso marzo, si è fatto più aggressivo nelle ultime settimane grazie anche ad un morphing di dominio.

Ed è stata proprio la crescita esponenziale nel numero di infezioni, da 800 a 3000 casi segnalati nell'ultima settimana, secondo ArsTechnica, ad attirare l'attenzione degli analisti di sicurezza e della stessa unità anticrisi informatica federale USA, il Computer Emergency Readiness Team (US-CERT).

Attraverso Gumblar, spiega PCWorld, i cracker puntano a modificare in modo artificioso i risultati di ricerca ottenuti sulle macchine infette, indirizzando gli utenti verso siti fraudolenti o comunque pericolosi. Il virus agisce secondo un tipico schema multi-stage. Dapprincipio Gumblar si "intrufola" nei siti sfruttando le falle presenti nelle applicazioni web meno protette e nelle configurazioni locali delle macchine, o più semplicemente attraverso credenziali FTP rubate.

Dopodiché, una volta che un utente ignaro visita uno dei siti infetti, installa sui computer-bersaglio il proprio malware attraverso una qualsiasi delle falle che riesce a scovare. Da questo momento in poi, gli utenti che svolgono dei search con Google dalla macchina infettata vedono i propri risultati di ricerca alterati, con la comparsa di URL che rimandano a spazi illegali.

Ma l'installazione del malware sul singolo server è funzionale anche alla sua propagazione successiva. Se le macchine di coloro che visitano il sito infetto non sono debitamente aggiornate - con particolare riferimento, spiega US CERT, ai software per la visualizzazione per PDF e Flash - il malware si trasmetterà anche a queste ultime. Tentando anche qui di trafugare credenziali, distorcere i risultati di ricerca e diffondersi ulteriormente.

La prima ondata di attacchi Gumblar risale allo scorso marzo, e sulle prime sembrava che il fenomeno potesse essere arrestato. Il virus era stato esaustivamente descritto sui siti di settore, e gli stessi responsabili security di Google avevano provveduto a escludere dai propri database i siti infetti. Ma tanto ottimismo era mal riposto. Nelle scorse settimane, spiega uno dei blog di ScanSafe, il malware in questione ha subito un nuovo morphing, in virtù del quale il codice maligno non viene più ripreso dal dominio gumblar.cn ma da un altro, martuz.cn. Ed è così che il virus ha ripreso a diffondersi.

Giovanni Arata

Fonte: Punto Informatico

c.m.g · 23-05-2009, 08:02

Gumblar, un nuovo virus informatico, si diffonde colpendo Google su downloadblog

22-05-2009, 08:20	#1
c.m.g Senior Member Iscritto dal: Mar 2006 Messaggi: 22114	[NEWS] Gumblar confonde Google venerdì 22 maggio 2009 Roma - Prende in ostaggio i siti altrui e da lì agisce per manipolare i risultati di ricerca di Google: Gumblar, diffuso già dallo scorso marzo, si è fatto più aggressivo nelle ultime settimane grazie anche ad un morphing di dominio. Ed è stata proprio la crescita esponenziale nel numero di infezioni, da 800 a 3000 casi segnalati nell'ultima settimana, secondo ArsTechnica, ad attirare l'attenzione degli analisti di sicurezza e della stessa unità anticrisi informatica federale USA, il Computer Emergency Readiness Team (US-CERT). Attraverso Gumblar, spiega PCWorld, i cracker puntano a modificare in modo artificioso i risultati di ricerca ottenuti sulle macchine infette, indirizzando gli utenti verso siti fraudolenti o comunque pericolosi. Il virus agisce secondo un tipico schema multi-stage. Dapprincipio Gumblar si "intrufola" nei siti sfruttando le falle presenti nelle applicazioni web meno protette e nelle configurazioni locali delle macchine, o più semplicemente attraverso credenziali FTP rubate. Dopodiché, una volta che un utente ignaro visita uno dei siti infetti, installa sui computer-bersaglio il proprio malware attraverso una qualsiasi delle falle che riesce a scovare. Da questo momento in poi, gli utenti che svolgono dei search con Google dalla macchina infettata vedono i propri risultati di ricerca alterati, con la comparsa di URL che rimandano a spazi illegali. Ma l'installazione del malware sul singolo server è funzionale anche alla sua propagazione successiva. Se le macchine di coloro che visitano il sito infetto non sono debitamente aggiornate - con particolare riferimento, spiega US CERT, ai software per la visualizzazione per PDF e Flash - il malware si trasmetterà anche a queste ultime. Tentando anche qui di trafugare credenziali, distorcere i risultati di ricerca e diffondersi ulteriormente. La prima ondata di attacchi Gumblar risale allo scorso marzo, e sulle prime sembrava che il fenomeno potesse essere arrestato. Il virus era stato esaustivamente descritto sui siti di settore, e gli stessi responsabili security di Google avevano provveduto a escludere dai propri database i siti infetti. Ma tanto ottimismo era mal riposto. Nelle scorse settimane, spiega uno dei blog di ScanSafe, il malware in questione ha subito un nuovo morphing, in virtù del quale il codice maligno non viene più ripreso dal dominio gumblar.cn ma da un altro, martuz.cn. Ed è così che il virus ha ripreso a diffondersi. Giovanni Arata Fonte: Punto Informatico __________________ Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario.

23-05-2009, 08:02	#2
c.m.g Senior Member Iscritto dal: Mar 2006 Messaggi: 22114	Gumblar, un nuovo virus informatico, si diffonde colpendo Google su downloadblog __________________ Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario.

Strumenti
Mostra una versione stampabile Invia questa pagina per email