[NEWS] USA, malware sulle Fortune 500

c.m.g · 09-01-2008, 10:32

mercoledì 09 gennaio 2008

Roma - Secondo alcuni esperti di sicurezza informatica, negli States sono decine di migliaia i siti facenti capo ad aziende Fortune 500, ad agenzie governative ed istituzioni accademiche infettati con codice malevolo, i cui obiettivi sono la cosiddetta click fraud e il furto di credenziali connesse a giochi online delle persone che li visitano.

"È stata colpita una grande varietà di siti", spiega a The Register Mary Landesman, ricercatrice di ScanSafe, azienda che informa i propri clienti in tempo reale sui siti infettati da malintenzionati. "È un esempio di ciò che noi vediamo tutti i giorni. Per le aziende che hanno forti interessi nella presenza sul Web, è davvero il momento di dare uno sguardo più approfondito alla propria politica in fatto di sicurezza".

Un avvertimento piuttosto forte, quello di ScanSafe, visto che sarebbero quasi centomila le URL afflitte dall'exploit, tra le quali anche quelle dei siti di Computer Associates, dello Stato della Virginia, della città di Cleveland e dell'Università di Boston. Visitando uno di questi siti si viene trasferiti sul dominio uc8010.com, a partire dal quale l'exploit tenta di compiere la propria missione.

Il trucco sfruttato, spiega il CTO di SANS Internet Storm Center Johannes Ullrich, è quello di impiegare l'iniezione di codice malevolo tramite versioni non aggiornate di SQL installate sui server oggetto dell'attacco (SQL injection). Con uno script Java viene effettuato il trasferimento del visitatore sul sito finale, che tenta la forzatura mediante molteplici vulnerabilità conosciute.

Se il trucco riesce, viene installato un keylogger che sottrae le credenziali di accesso a siti e servizi. Non solo: l'exploit forza i malcapitati navigatori a visitare siti di terze parti, progettati per retribuire l'invio di traffico. A questi i cracker avevano in precedenza sottoscritto abbonamenti come affiliati e, dalle visite procurate dall'exploit, hanno così ricavato denaro.

In passato non sono mancati episodi altrettanto gravi. Lo scorso anno, in una circostanza simile furono prese di mira aziende dello stesso calibro, con l'obiettivo di alimentare una vasta azione di spamming.

Marco Valerio Principato

**Chill-Out** · 09-01-2008, 10:45

Se ne parla anche qui sul blog di Roger Thompson di Exploit Prevention Labs
http://explabs.blogspot.com/search/l...10%20CA%20MDAC

09-01-2008, 10:32	#1
c.m.g Senior Member Iscritto dal: Mar 2006 Messaggi: 22121	[NEWS] USA, malware sulle Fortune 500 mercoledì 09 gennaio 2008 Roma - Secondo alcuni esperti di sicurezza informatica, negli States sono decine di migliaia i siti facenti capo ad aziende Fortune 500, ad agenzie governative ed istituzioni accademiche infettati con codice malevolo, i cui obiettivi sono la cosiddetta click fraud e il furto di credenziali connesse a giochi online delle persone che li visitano. "È stata colpita una grande varietà di siti", spiega a The Register Mary Landesman, ricercatrice di ScanSafe, azienda che informa i propri clienti in tempo reale sui siti infettati da malintenzionati. "È un esempio di ciò che noi vediamo tutti i giorni. Per le aziende che hanno forti interessi nella presenza sul Web, è davvero il momento di dare uno sguardo più approfondito alla propria politica in fatto di sicurezza". Un avvertimento piuttosto forte, quello di ScanSafe, visto che sarebbero quasi centomila le URL afflitte dall'exploit, tra le quali anche quelle dei siti di Computer Associates, dello Stato della Virginia, della città di Cleveland e dell'Università di Boston. Visitando uno di questi siti si viene trasferiti sul dominio uc8010.com, a partire dal quale l'exploit tenta di compiere la propria missione. Il trucco sfruttato, spiega il CTO di SANS Internet Storm Center Johannes Ullrich, è quello di impiegare l'iniezione di codice malevolo tramite versioni non aggiornate di SQL installate sui server oggetto dell'attacco (SQL injection). Con uno script Java viene effettuato il trasferimento del visitatore sul sito finale, che tenta la forzatura mediante molteplici vulnerabilità conosciute. Se il trucco riesce, viene installato un keylogger che sottrae le credenziali di accesso a siti e servizi. Non solo: l'exploit forza i malcapitati navigatori a visitare siti di terze parti, progettati per retribuire l'invio di traffico. A questi i cracker avevano in precedenza sottoscritto abbonamenti come affiliati e, dalle visite procurate dall'exploit, hanno così ricavato denaro. In passato non sono mancati episodi altrettanto gravi. Lo scorso anno, in una circostanza simile furono prese di mira aziende dello stesso calibro, con l'obiettivo di alimentare una vasta azione di spamming. Marco Valerio Principato __________________ Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario.

09-01-2008, 10:45	#2
Chill-Out Moderatore Iscritto dal: Jun 2007 Città: 127.0.0.1 Messaggi: 25885	Se ne parla anche qui sul blog di Roger Thompson di Exploit Prevention Labs http://explabs.blogspot.com/search/l...10%20CA%20MDAC __________________ Regole di Sezione ▪ Guida alla Disinfezione ▪ Attenzione: Thread importanti Try again and you will be luckier.

Strumenti
Mostra una versione stampabile Invia questa pagina per email