«Il trend degli ultimi mesi sembra sia questo: compromettere i siti web iniettando codice malevolo»: così PcAlSicuro introduce l’ennesimo caso di un sito web infettato che diviene mina vagante per il web italiano. Non solo: trattasi dell’ennesimo sito dal nome altisonante, il che rende il pericolo oltremodo importante, aggravato ulteriormente dal fatto che in giorni di pubblica notifica nessuno vi abbia ancora messo mano.
Il sito web “maligno” è quello della nota cantante Carmen Consoli (non se ne offre il link per evitare di incoraggiare ad un click che può divenire causa diretta di una infezione). La spiegazione del problema è lasciata ancora una volta a Marco Giuliani, colui il quale ha seguito l’evolversi della situazione fin dalla prima ora: «il sito web della famosissima cantante italiana Carmen Consoli è stato compromesso ed è stato inserito nella home page un iframe che punta ad un sito web esterno […] Dopo che il sistema, non correttamente aggiornato in termini di sistema operativo e software, è stato attaccato con successo, un eseguibile con nome casuale viene installato […] Svchost.exe, immediatamente dopo, tenta di scaricare dallo stesso indirizzo IP usato dall’iframe un altro file. Il file, con estensione .txt, è in realtà un file criptato che contiene informazioni utili al malware per scaricare altre componenti dell’infezione. Una volta decodificato, il malware ottiene dal file gli indirizzi corretti».
Il codice relativo all’iframe maligno
A questo punto può scattare la procedura volta a concretizzare la truffa in atto: “stordiscimi disarmami e infine colpisci” non sembrano solo essere “parole di burro”, insomma. «Pa_0111.exe è un dialer studiato appositamente per il traffico italiano, prova infatti ad effettuare chiamate verso numeri a pagamento con prefisso 899. La società assegnataria del numero di telefono è Teleunit S.p.A. Se il dialer trova un modem 56k crea una connessione denominata Service e una messagebox potrebbe comparire se la connessione non viene effettuata correttamente. Altrimenti, il dialer apre una pagina web a sfondo sessuale dove le persone sono invitate a chiamare un numero 899 per ottenere le credenziali di accesso».
Per gli utenti privi di banda larga, insomma, il rischio è concreto. Per chi gode di connessione DSL il rischio è indiretto, ma presente. «Abbiamo contattato lo staff del sito web attaccato e, al momento della stesura di questo articolo, l’iframe era ancora presente»: la segnalazione è stata ora ribadita passando direttamente tramite il team di Carmen Consoli (va ricordato come un caso analogo abbia coinvolto in passato il sito di Roberto Vecchioni). Anche perchè «nel caso di un attacco quale quello sopra descritto, non si tratta più di un problema esclusivo dell’hoster o del webmaster che si è visto compromettere il proprio lavoro, diventa un problema reale per ogni utente del web, il quale è sicuro di navigare in un posto sicuro ma rischia di vedere il proprio pc infettato da qualche malware». Il team Prevx ha seguito il caso in parallelo all’imporsi dell’emergenza ed oggi il software Prevx 2.0 è in grado di garantire l’individuazione e la rimozione degli attacchi.