Siti italiani sotto attacco: il virus “turista”

distrutti

Citazione:

David Perry, portavoce di Trend Micro, ha lanciato l'allarme virus che colpirebbebbe in particolare siti di turismo.
Sarebbero circa 4.500 i siti di turismo italiani infetti (come http://wwww.bestoftuscany.it) anche se la polizia postale ha dichiarato di non aver ancora ricevuto segnalazioni. Il virus “turista” è in grado di rubare informazioni finanziarie degli utenti per trasmetterle ad un server di Chicago. Perry ha definito la presenza del virus come uno dei più grandi e pericolosi attacchi telematici della storia. L’utente che visita il sito di viaggi infetto viene attaccato da un trojan in grado di rubare un consistente numero di informazioni riservate, in particolare numeri di conto correnti e di numeri di carte di credito. Per evitare di essere attaccati dal virus è necessario aggiornare la versione di Internet Explorer, perché sono le versioni meno recenti le più vulnerabili.

I siti web italiani sono sotto attacco da sabato scorso. Trend Micro ha individuato un nuovo malware che si sta diffondendo in modo totalmente incontrollato e che agisce con la stessa modalità di LINKOPTIM, il malware che sfruttava un certo numero di siti Web italiani legittimi per diffondere esemplari di codice JavaScript pericoloso.

Individuato da Trend Micro come HTML_IFRAME.CU, il nuovo script maligno reindirizza verso siti Web illegali l'utente che sta navigando su siti italiani assolutamente legittimi. Questi siti vengono in realtà manomessi per inserire dei tag IFRAME maligni che, in maniera automatica, connettono l'ignaro utente a un server che ospita programmi malware. Accade quindi che l'utente scarichi inconsapevolmente codice pericoloso sul proprio computer. Trend Micro ha identificato il malware scaricato come JS_DLOADER.NTJ, TROJ_PAKES.NC, e TROJ_AGENT.UHL, che sfrutta la vulnerabilità MS04-040 per eseguire la routine di download.

La maggior parte dei siti Web legali oggetto di violazione ricade nei settori del turismo, dell'industria automobilistica, dei film e della musica, dei servizi al cittadino, oltre ad alcuni siti di comuni italiani e di hotel. A quanto pare, molti dei siti in questione sono gestiti da uno dei più importanti Web provider italiani.

In una fase di analisi preliminare è emerso che gli autori del malware sono riusciti a violare i server Web facendo leva su alcune vulnerabilità di Microsoft Internet Information Services (IIS) e cpanel. È comunque verosimile che per sferrare gli attacchi siano stati sfruttati anche altri tipi di vulnerabilità.

“Nelle ultime 48 ore oltre 2.000 siti italiani sono stati attaccati e il numero delle vittime raddoppia ogni sei-otto ore”, ha dichiarato Ivan Macalintal, Senior TreLabs Threat Researcher di Trend Micro. ”Questo tipo di minaccia web è invisibile ai visitatori non protetti e quindi sono più pericolosi dei virus normali. Gli hacker stanno utilizzando numerosi tipi di malware per non essere scoperti e raggiungere l’obiettivo finale di installare un keylogger per sottrarre informazioni personali come numero di conto corrente o password”.

Ma perché prendere di mira dei siti italiani? Il motivo è semplice: luglio è alle porte e per l'Italia si apre la stagione del turismo e delle vacanze. Vi è anche la probabilità che questi episodi siano in realtà solo una fase preparatoria per un attacco ben più strutturato, da compiere durante l'imminente stagione italiana delle vacanze.

La lista di siti Web violati è composta prevalentemente da siti di natura turistica, molto probabilmente per il fatto che il periodo delle vacanze è ormai alle porte. Nella lista compaiono anche siti con contenuti per soli adulti. Alcuni degli indirizzi violati sono siti ufficiali di club, gruppi, fan, protagonisti del mondo del cinema, della musica, della moda. Mirare ai siti pornografici è la mossa più logica nella mente di un hacker, innanzitutto per il fatto che il sesso vende di per sé; e utilizzare qualcosa che vende senza problemi è sicuramente un'ottima strategia per attirare un determinato target. In questo caso lo scopo è attirare il maggior numero di visitatori possibile: una volta connessi, infatti, gli utenti subiscono l'attacco.

La lista riporta indirizzi di home page principali (www.{nome del sito Web}.com): questo è alquanto logico in quanto un utente in genere si collega all'indirizzo Web principale per poi iniziare da lì la navigazione dell'intero sito. Ed è proprio nel momento in cui l'utente accede al sito dalla home page che viene automaticamente infettato.

Per violare questi siti italiani, i responsabili stanno utilizzando il kit di malware MPack versione .86. Addirittura, una release più recente di MPack, versione .9, si sta rapidamente diffondendo tra gli hacker e offrirebbe nuove funzionalità per supportare gli attacchi malware. Di conseguenza i futuri episodi di violazione potrebbero essere ancora più devastanti causando danni davvero gravi.

Contro le nuove minacce Web, Trend Micro ha sviluppato un’innovativa tecnologia di Web Reputation in grado di controllare la credibilità dei domini estendendo e applicando alle minacce la funzione Trend Micro Network Reputation Services, che protegge già oltre 78 milioni di account di posta elettronica. Con la tecnologia Web Reputation, Trend Micro mappa oltre 300 milioni di domini e più di 2 miliardi di hit al giorno, sfruttando l'archivio storico di reputazione più esteso e attivo da più tempo al mondo.

La funzionalità dedicata alla reputazione Web è presente nell'intero portafoglio di soluzioni per la sicurezza, da quelle di fascia consumer (Trend Micro PC-cillin Internet Security), a quelle per la PMI e le grandi aziende.

Fonte: http://www.datamanager.it/

Di tanto in tanto c'è l'uscita di questi "Software" gratuiti ed altamente compatibili per pc... Occhi fuori orbita