Proseguono gli attacchi IFRAME

L'ondata di attacchi IFRAME non si è placata. Anzi, ha acquistato nuovo vigore prendendo di mira molteplici siti web di fama internazionale.

L’ondata di attacchi IFRAME non si è placata. Anzi, ha acquistato nuovo vigore prendendo di mira molteplici siti web di fama internazionale. Il ricercatore di sicurezza bulgaro Dancho Danchev, indica tra i bersagli più recenti siti del calibro di USA Today, ABC News, Wal-Mart, News.com, PackardBell.com e Forbes.com.

Le modalità di aggressione ricordano da vicino quelle che caratterizzano attacchi di tipo XSS (cross site scripting) e sono state segnalate dallo stesso Danchev ormai più di due settimane fa.

I siti citati, così come tutti gli altri che sono stati presi di mira, non sono di per sé vulnerabili. Gli aggressori non hanno violato i server web ma, piuttosto, hanno sfruttato delle lacune presenti, ad esempio, nei motori di ricerca presenti nei siti bersagliati.
In particolare, alcune pagine web dinamiche appartenenti ai siti attaccati, non gestirebbero in modo adeguato i parametri ricevuti in ingresso. I malintenzionati hanno osservato che, passando tra i parametri in input ad una pagina di ricerca, una tag IFRAME contenente un URL esterno, il motore di ricerca interno del sito web oggetto di attacco inseriva l’intera TAG html IFRAME all’interno del corpo del testo della pagina risultante.
Passando le varie pagine allo spider di Google, i malintenzionati sono riusciti a far comparire i loro URL “maligni” tra i risultati delle interrogazioni effettuate sul motore di ricerca del colosso di Mountain View, per molteplici parole chiave.
A questo punto, l’ignaro utente, effettuando una normale interrogazione su Google potrebbe verosimilmente non accorgersi dell’inganno vedendo, in testa all’indirizzo, un riferimento ad un sito web famoso, conosciuto e ritenuto affidabile. Cliccandovi, il browser dell’utente verrebbe reindirizzato, invece, verso siti maligni oppure obbligato a scaricare malware.

Gli indirizzi IP verso i quali viene dirottato il browser sono per il momento essenzialmente quattro e sono situati negli Stati Uniti, a Panama ed in Germania.

L’attacco basato sull’uso di IFRAME era stato utilizzato anche in passato. Gli aggressori questa volta hanno però aggiunto l’utilizzo di tecniche di “SEO poisoning” per indurre il motore di ricerca a proporre gli URL nocivi tra i risultati delle query.

Ti consigliamo anche

Link copiato negli appunti