Siti Web italiani nel mirino di un nuovo attacco

Individuato da Trend Micro come HTML_IFRAME.CU, il nuovo script maligno reindirizza verso siti Web illegali l'utente che sta navigando su siti italiani assolutamente legittimi. Questi siti vengono in realtà manomessi per inserire dei tag IFRAME maligni che, in maniera automatica, connettono l'ignaro utente a un server che ospita programmi malware. Accade quindi che l'utente scarichi inconsapevolmente codice pericoloso sul proprio computer. Trend Micro ha identificato il malware scaricato come JS_DLOADER.NTJ, TROJ_PAKES.NC, e TROJ_AGENT.UHL, che sfrutta la vulnerabilità MS04-040 per eseguire la routine di download. 

La maggior parte dei siti Web legali oggetto di violazione ricade nei settori del turismo, dell'industria automobilistica, dei film e della musica, dei servizi al cittadino, oltre ad alcuni siti di comuni italiani e di hotel. A quanto pare, molti dei siti in questione sono gestiti da uno dei più importanti Web provider italiani.

In una fase di analisi preliminare è emerso che gli autori del malware sono riusciti a violare i server Web facendo leva su alcune vulnerabilità di Microsoft Internet Information Services (IIS) e cpanel. È comunque verosimile che per sferrare gli attacchi siano stati sfruttati anche altri tipi di vulnerabilità. 

Ma perché prendere di mira dei siti italiani? Il motivo è semplice: luglio è alle porte e per l'Italia si apre la stagione del turismo e delle vacanze. Vi è anche la probabilità che questi episodi siano in realtà solo una fase preparatoria per un attacco ben più strutturato, da compiere durante l'imminente stagione italiana delle vacanze.

La lista di siti Web violati è composta prevalentemente da siti di natura turistica, molto probabilmente per il fatto che il periodo delle vacanze è ormai alle porte. Nella lista compaiono anche siti con contenuti per soli adulti. Alcuni degli indirizzi violati sono siti ufficiali di club, gruppi, fan, protagonisti del mondo del cinema, della musica, della moda. Mirare ai siti pornografici è la mossa più logica nella mente di un hacker, innanzitutto per il fatto che il sesso vende di per sé; e utilizzare qualcosa che vende senza problemi è sicuramente un'ottima strategia per attirare un determinato target. In questo caso lo scopo è attirare il maggior numero di visitatori possibile: una volta connessi, infatti, gli utenti subiscono l'attacco.

La lista riporta indirizzi di home page principali (www.{nome del sito Web}.com): questo è alquanto logico in quanto un utente in genere si collega all'indirizzo Web principale per poi iniziare da lì la navigazione dell'intero sito. Ed è proprio nel momento in cui l'utente accede al sito dalla home page che viene automaticamente infettato.

Per violare questi siti italiani, i responsabili stanno utilizzando il kit di malware MPack versione .86. Addirittura, una release più recente di MPack, versione .9, si sta rapidamente diffondendo tra i crecker e offrirebbe nuove funzionalità per supportare gli attacchi malware. Di conseguenza i futuri episodi di violazione potrebbero essere ancora più devastanti causando danni davvero gravi.

“Nelle ultime 48 ore oltre 2.000 siti italiani sono stati attaccati e il numero delle vittime raddoppia ogni sei-otto ore”, ha dichiarato Ivan Macalintal, Senior TreLabs Threat Researcher di Trend Micro. ”Questo tipo di minaccia web è invisibile ai visitatori non protetti e quindi sono più pericolosi dei virus normali. Gli hacker stanno utilizzando numerosi tipi di malware per non essere scoperti e raggiungere  l’obiettivo finale di installare un keylogger per sottrarre informazioni personali come numero di conto corrente o password”.

Contro le nuove minacce Web, Trend Micro ha sviluppato un’innovativa tecnologia di Web Reputation in grado di controllare la credibilità dei domini estendendo e applicando alle minacce la funzione Trend Micro Network Reputation Services, che protegge già oltre 78 milioni di account di posta elettronica. Con la tecnologia Web Reputation, Trend Micro mappa oltre 300 milioni di domini e più di 2 miliardi di hit al giorno, sfruttando l'archivio storico di reputazione più esteso e attivo da più tempo al mondo.