L’Internet Storm Center (ISC) di SANS ha lanciato l’allerta circa la scoperta di centinaia di migliaia di siti che presentano i segni di un’infezione successiva, evidentemente, ad un attacco “SQL injection” condotto su vasta scala. Secondo gli esperti, le pagine web affette dal problema sarebbero oltre un milione e sarebbero concentrate su server installati in Olanda, Francia, Regno Unito, Germania, Russia, Danimarca, Giappone e Cina. Al momento, l’Italia sembra non essere nella “lista nera” (ved. questa pagina).
L’aggressione ha avuto come conseguenza l’inserimento di una tag HTML che forza il browser web a scaricare codice JavaScript malevolo ospitato su di un dominio dal nome curioso: “Lilupophilupop“.
Stando all’esito delle prime analisi, l’infezione avrebbe interessato solamente i siti web che utilizzano pagine ASP, il database Microsoft SQL Server ed il software Adobe Coldfusion, tecnologia server che elabora pagine con estensione .cfm, .cfml e .cfc servendosi del linguaggio di programmazione CFML (ColdFusion Markup Language).
Fortunatamente, il nome a dominio “mnemonico” collegato a “Lilupophilupop” non viene più risolto dai server DNS. All’indirizzo IP col quale veniva precedentemente risolto il nome a dominio, invece, continua a rispondere un server web che, tutt’oggi, veicola uno script utilizzato per provocare il download di falsi software antivirus (“rogue antivirus“; ved. questo articolo).
Una semplice analisi con Google Safe Browsing (ved. il nostro articolo), ha evidenziato che oltre 200 siti appartenenti alla medesima rete di “Lilupophilupop“, hanno funto – negli ultimi 90 giorni – da strumento per la diffusione di malware.
Per maggiori informazioni sugli attacchi di tipo “SQL injection“, vi suggeriamo di consultare queste pagine.