Ricercatori ed esperti di sicurezza hanno identificato un nuovo attacco capace di infettare in un mese circa 300.000 pagine web con link che portano i visitatori ad un pagina con un potente cocktail di exploit maliziosi.
L’attacco è iniziato nel tardo novembre e sembra opera di esperti, ma non in questo tipo di tecniche. I siti manomessi contengono un iframe che silenziosamente redirige gli utenti su 318x .com (notare lo spazio inserito appositamente per sicurezza), e da lì su:
aa1100.2288.org/htmlasp /dasp/alt .html
mentre viene poi caricato uno script (js. tongji.linezing.com/ 1358779/tongji.js) usato per il tracking. La procedura sfrutta note vulnerabilità di almeno cinque applicazioni:
- Integer overflow vulnerability in Adobe Flash Player, descritta in CVE-2007-0071
- MDAC ADODB.Connection ActiveX vulnerability descritta in MS07-009
- Microsoft Office Web Components vulnerabilities descritta in MS09-043
- Microsoft video ActiveX vulnerability descritta in MS09-032
- Internet Explorer Uninitialized Memory Corruption Vulnerability – MS09-002
Al momento questa ricerca permette di trovare più di 300.000 pagine contenenti link agli script maliziosi, questa invece 130.000.
Chi visita le pagine infette riceve un link invisibile che estrae codice da pagine legate a 318x .com. Il codice cerca versioni indifese di Adobe Flash, Internet Explorer, e altre e se le trova ne sfrutta le debolezze per installare un malware noto come Backdoor.Win32.Buzus.croo da un altro sito (windowssp.7766. org). E’ un rootkit che memorizza credenziali bancarie e attua altri tipi di danneggiamenti.
Questo tipo di attacchi, basato su scarsa diligenza nell’aggiornare le versioni di software rivelatesi deboli ha già consentito il furto di 130 milioni di numeri di carte di credito da varie compagnie, come la Heartland Payment Systems ed ha già avuto un famoso predecessore, la tecnica nota come Gumblar, link dinamicamente generati che impediscono ai ricercatori di trovarli con ricerche sul web.
Gumblar è molto più pericoloso perché carica il codice pericoloso direttamente sui siti infetti, così complicando molto la ripulitura dei siti stessi, che vanno disinfestati uno alla volta.
Vedi anche ScanSafe STAT.