Oltre mezzo milione di pagine web sotto attacco

Trend Micro ha rilevato un attacco Web che ha compromesso oltre mezzo milione di pagine online. Sui siti colpiti è stato inserito uno script maligno (JS_SMALL.QT) derivante da una implementazione inadeguata del pacchetto PHP Bulletin Board (o phpBB, un noto programma software per la gestione di forum su Internet). Collegandosi a un sito infetto, gli utenti vengono a loro volta contagiati con una variante della famiglia ZLOB (TROJ_ZLOB.CCW) che finge di installare un codec video. Quando i visitatori scaricano i falsi codec video, effettuano in realtà il download di alcuni programmi Trojan:

• TROJ_DNSCHANG.CS

• TROJ_ALUREON.AE

• TROJ_ALUREON.AH

• TROJ_ALUREON.AI

Queste tipologie di Trojan sono note per modificare il server DNS e i settaggi del browser Internet del sistema coinvolto nell'attacco, rendendolo quindi vulnerabile anche a ulteriori minacce.

Molti siti Web sono già stati compromessi con messaggi di spam fasulli con contenuti farmaceutici e pornografici. Pare che la prima infezione di questo tipo sia avvenuta a febbraio 2008 e gli episodi di infezione avrebbero riguardato forum e guest book, le cui pagine online sono ora inaccessibili in quanto reindirizzano automaticamente gli utenti verso un sito pornografico per il download di un finto codec video.

Secondo Ivan Macalintal, Advanced Threats Research Manager di Trend Micro, “Questo attacco è del tutto simile a quelli che rileviamo sul Web a livello mondiale; è sufficiente visitare un sito infetto per essere dirottati verso altre destinazioni online dalle quali vengono scaricate diverse forme di malware”.

Il codice malware risiede su server situati a Columbus (in Ohio), a Concord (in California) e a Mosca. Questo attacco è molto probabilmente opera di una organizzazione cyber-criminale russa/ucraina già responsabile durante lo scorso anno della serie di attacchi ZLOB.

La tecnologia di protezione dalle minacce Web sviluppata da Trend Micro riesce a bloccare possibili contagi vietando l'accesso alle pagine pericolose. Gli esempi di malware sopra elencati sono previsti dalla soluzione, garantendo così una tutela superiore.