A migliaia i siti web italiani attaccati da Mpack

E’ allarme generale per un’ondata di attacchi informatici che sta colpendo, in particolar modo, il nostro Paese. Secondo Symantec, stando a quanto dichiarato da Elia Florio, conosciuto esperto nel campo della sicurezza informatica, il problema ingeneratosi in questi giorni è conseguenza dell’utilizzo, da parte di un gruppo di malintenzionato, del kit “Mpack 0.86”.
Abbiamo atteso qualche ora prima di pubblicare la news nell’attesa di ottenere chiarimenti sulle metodologie d’attacco utilizzate, informazione che, per il momento, non è ancora trapelata.
Nel frattempo, centinaia e centinaia di siti web italiani hanno visto le rispettive home page compromesse mediante l’aggiunta di una tag IFRAME maligna facente riferimento ad indirizzi IP legati a sistemi che ospitano componenti malware.
La modifica delle pagine di siti web assolutamente legittimi è molto probabilmente diretta conseguenza di problematiche relative alla configurazione software del server utilizzato. E’ possibile, inoltre – come puntualizza Florio – che gli amministratori di molti siti web non siano a conoscenza della situazione.
Per l’utente finale, quindi, che “naviga” sul web le raccomandazioni sono le solite: utilizzare sempre un antivirus (da mantenere sempre costantemente aggiornato) e provvedere all’installazione di tutte le patch di sicurezza rilasciate periodicamente dai vari produttori relativamente al sistema operativo e a tutte le applicazioni in uso.
Aggiungiamo, inoltre, che l’adozione di un “personal firewall” in grado anche di filtrare i contenuti potenzialmente nocivi presenti nelle pagine web può contribuire a scongiurare qualunque tipo di rischio d’infezione.
Mpack è una collezione di script PHP, sviluppati in modo professionale, che offrono una vasta gamma di metodologie d’attacco per effettuare l’exploit di numerose vulnerabilità di sicurezza ed eseguire così del codice nocivo sulle macchine prese di mira. Mpack viene venduto da un’organizzazione russa: la sua installazione è inoltre incredibilmente semplice.
Una volta effettuata quest’operazione, il kit può essere sfruttato per aggiungere tag IFRAME all’interno di pagine web ospitate su macchine vulnerabili, avviare campagne di spam inserendo tag IFRAME maligni nel corpo del messaggio di posta elettronica, attivare domini simili a quelli di siti web famosi ed inserendovi all’interno componenti dannosi (attività di “typo-squatting”).
Grazie alla tag html IFRAME aggiunta nei siti web attaccati e violati mediante l’uso di Mpack, ogniqualvolta un utente visita il sito legittimo, il suo browser provvederà a caricare anche il contenuto dell’IFRAME. A questo punto, il server maligno, cui fa riferimento la tag IFRAME, provvederà a stabilire il sistema operativo ed il browser utilizzato dal client collegato selezionando automaticamente le vulnerabilità che è possibile tentare di sfruttare. In questo modo, il sistema dell’ignaro utente, qualora non risultasse aggiornato mediante l’applicazione di tutte le patch di sicurezza, potrebbe essere a sua volta infettato. Si tratta di una strategia d’attacco che rasenta la perfezione e che può consentire, ad esempio caricando componenti trojan o keylogger, di “rubare” all’utente informazioni sensibili o credenziali di accesso.
Trend Micro fa presente che i siti attaccati sarebbero essenzialmente pagine web italiane dedicato al turismo ed ai viaggi. Spiegazione: “Luglio è alle porte e per l’Italia si apre la stagione del turismo e delle vacanze. Vi è anche la probabilità che questi episodi siano in realtà solo una fase preparatoria per un attacco ben più strutturato, da compiere durante l’imminente stagione italiana delle vacanze”.
Ad ogni modo, sono molti di più i siti web presi di mira, come testimoniano le statistiche di Mpack (il kit raccoglie anche i dati sui sistemi infettati globalmente e sulle nazoni maggiormente attaccate).
Per quanto riguarda il malware che viene scaricato sul sistema dell’utente in risposta al download dell’IFRAME maligno, Trend Micro ha identificato una serie di elementi nocivi (JS_DLOADER.NTJ, TROJ_PAKES.NC e TROJ_AGENT.UHL) che sfruttano la vulnerabilità MS04-040 – peraltro molto datata – per eseguire il download all’insaputa dell’utente.
Abbiamo dato una rapida occhiata alle vulnerabilità che Mpack può sfruttare. A mero titolo esemplificativo e senza volersi configurare, il nostro, come un elenco esaustivo e definitivo (il kit viene continuamente migliorato con l’aggiunta di nuovi script in grado di far leva su di una più vasta gamma di falle di sicurezza), i vari file PHP consentono di avviare l’exploit su macchine che non dispongano delle patch seguenti: MS06-006 (“Una vulnerabilità nel plug-in di Windows Media Player con browser Internet non Microsoft può consentire l’esecuzione di codice in modalità remota”); MS06-014 (“Una vulnerabilità nella funzione MDAC (Microsoft Data Access Components) può consentire l’esecuzione di codice”); MS06-044 (“Una vulnerabilità in Microsoft Management Console può consentire l’esecuzione di codice in modalità remota”); MS06-055 (“La vulnerabilità in Vector Markup Language può consentire l’esecuzione di codice in modalità remota”); MS06-071 (“Una vulnerabilità in Microsoft XML Core Services può consentire l’esecuzione di codice in modalità remota”).
Sono più di 10.000 i siti web attaccati. L’hoster maggiormente preso di mira è risultato essere Aruba che sta in queste ore tentando di far fronte all’emergenza.