L’IT security è sempre materia delicata, ma lo è ancora di più se coinvolge i dati sensibili immagazzinati nei database di agenzie governative e banche d’affari.
In questo mese si sono segnalati svariati attacchi che seguono la scia di quel che era già stato riportato da analisti del settore dalla metà di maggio.
Il team di ricercatori di Sophos, famoso vendor del settore, aveva messo in guardia la comunità internazionale del progredire della minaccia Gumblar verso la non così graficante top 10 delle minacce su Web.
Poi è stata la volta di un massiccio attacco, denominato Beladen, a seminare il panico in svariate migliaia di siti (circa 40 mila al momento quelli infettati).
Infine è toccato a Bank of America, protagonista suo malgrado di uno spam che tramite la contraffazione del sito originale spinge, con un’evoluzione dello schema utilizzato finora nel phishing, l’utente a cedere le proprie credenziali di autenticazione e reindirizzarlo su un sito parallelo anch’esso veicolo di infezioni tramite la tecnica dell’incapsulazione di codice malevole all’interno di script della pagina stessa.
Vediamoli un po’ più nel dettaglio.
Parlavamo di Gumblar altrimenti noto come Troj/JSRedir-R.
Il suo impatto è stato devastante tanto da risultare in una proporzione di 6:1 di diffusione rispetto al secondo exploit della classifica, Mal/Iframe-F.
Già da questo dato si può facilmente intuire di come ci si trovi di fronte ad un tipo di malware piuttosto complesso.
Il motivo di tanto “successo” deriva dal fatto che si nasconda come codice offuscato in una molteplicità di siti, effettivamente legittimi, ma che siano stati arricchiti con script provenienti da altri siti terzi che magari raccolgono e pubblicano sorgenti senza controllarne la fonte e senza verificarne il contenuto.
Una pratica piuttosto diffusa soprattutto per chi sviluppa secondo il modello dello spaghetti-code e che coinvolge in particolar modo i linguaggi PHP e Javascript.
La porzione di codice offuscato cerca di connettersi al sito gumblar.cn (la Cina è attualmente uno dei Paesi maggiormente responsabili del diffondersi di infezioni informatiche) e scaricare codice malevolo.
Nel dettaglio, lo script rimpiazza alcuni caratteri speciali (come l’escape) con il valore esadecimale ed a differenza di altri exploit simili non infetta solo le pagine principali come gli onnipresenti index.php, index.html ma viene iniettato arbitrariamente all’interno di tutte le pagine, rendendolo ancora più pericoloso perché più difficile da controllare.
L’obiettivo, sempre secondo i ricercatori di Sophos, sembrano essere le credenziali FTP; è stato verificato infatti che il payload, seguendo la modalità d’azione del trojan PHPMod-A, è in grado di cambiare i permessi a protezione del sito infettato all’interno del quale viene inoltre scaricato un file image.php nella cartella Images.
Nel caso si sospetti un attacco, il consiglio è quello di cambiare l’accesso FTP e riuploadare l’ultimo backup.
Solo una settimana dopo Gumblar è mutato in Martuz, una variante, se possibile ancora più pericolosa, perché aggiunge nuove tecniche di offuscamento del codice che coinvolgono non solo la molteplicità di pagine ma anche metadati e perfino elementi come le immagini, predisponendo inoltre l’apertura di backdoor.
Il team Symantec è riuscita inoltre ad isolare un payload sviluppato ad hoc per gli utilizzatori di Google Chrome, in grado di aggirarne il meccanismo di black-list dei domini non sicuri.
Passiamo a Beladen, un altro attacco che prende il nome dal dominio matrice dell’infezione.
Anche in questo caso gli script modificati tentano di collegarsi ad un server remoto per scaricare exploit di varia natura, più o meno tutto lo scibile del malware finora pubblicato in Rete, che coinvolge soprattutto le applicazioni maggiormente utilizzate come Adobe Reader, Flash Player ed i software di compressione.
Considerando quanti computer non utilizzino programmi aggiornati, la percentuale che gli attacchi vadano a buon fine è purtroppo molto alta.
Secondo quanto riportato dal Register, i siti più colpiti sarebbero quelli delle piccole imprese o delle istituzioni governative che non hanno risposto all’appello dei vari security team internazionali.
Oltre a diffondere malware a destra e a manca, il codice Javascript iniettato sarebbe in grado di raccogliere le statistiche e mandarle ad un sito terzo ( google-analyt1cs.net), in passato associato al Russian Business Network, un’organizzazione di cybercriminali ben nota alle autorità.
Infine la minaccia che ha coinvolto una delle istituzioni bancarie più famose nel mondo.
Bank of America Direct è un servizio basato su Internet utilizzato dalle compagnie per effettuare le proprie transazioni e necessita l’installazione di un certificato digitale all’interno del browser per autenticare i contraenti.
Gli attaccanti hanno quindi cominciato a diffondere false e-mail con il messaggio “The Digital Certificate for your Bank of America Direct online account has expired“.
Tutti i link della pagina puntano effettivamente al sito Bank of America, eccetto il pulsante “Continue” il quale, una volta premuto, produrrà due effetti: l’utente viene reindirizzato su un form dove si richiedono le informazioni per inviare nuovamente il certificato.
Una volta completato i malcapitati avranno consegnato sostanzialmente le chiavi dell’account.
Il secondo lato negativo (come si dice, non c’è mai fine alla sfiga) è che l’OK sul form autorizza il prompt di un file (9129837.exe), un trojan in grado di raccogliere informazioni sul computer del malcapitato.
L’aspetto interessante dell’attacco è che la validazione viene effettuata real-time e mutua parte del processo utilizzato da Verisign (la società leader nel mondo per quanto riguarda queste tecnologie) attraverso la connessione all’URL “pilotonsite.verisign.com/cgi-bin/crs.exe”.
