Decine di siti web sarebbero stati attaccati in queste ore con modalità ancora non note, ma con effetti deleteri potenziali di grande impatto. Alcuni dei siti colpiti, infatti, sarebbero relativi a siti o personaggi noti, il che espone migliaia e migliaia di visitatori al pericolo invisibile determinato dall’introduzione di script nascosti nel codice delle pagine visitate. La segnalazione giunge da Marco Giuliani tramite Pc al Sicuro, il quale parte da un caso noto ed emblematico: anti-phishing.it.
«In queste ore il sito web anti-phishing.it, una delle maggiori risorse italiane nella lotta contro il phishing, è stato compromesso e nella home page è stato inserito un javaScript offuscato che reindirizza ad alcune pagine web contenenti exploit. Il server contenente gli exploit è individuabile all’indirizzo 70.38.31.90. Il sito è ospitato in uno dei server Aruba dedicati allo shared hosting. Le pagine web malevole si occupano, attraverso exploit vari, di scaricare automaticamente nel PC vittima un trojan che installa il famigerato MBR rootkit». Ma anti-phishing.it non è il solo sito attaccato.
Almeno 50 altri domini sono segnalati tra quelli colpiti, con una strategia mirata che sembra voler colpire nel minor tempo possibile il maggior numero di utenti a partire dai server vulnerabili identificati. «Tra le vittime illustri anche il sito web personale del deputato dell’Italia dei Valori Franco Barbato, il sito non ufficiale italiano dedicato a Twitter, il sito ufficiale del gruppo musicale Zero Assoluto, il sito della rete sismica sperimentale italiana I.E.S.N. L’analisi di molti siti web è ancora in corso tuttavia, non è possibile escludere a priori ulteriori siti web famosi compromessi». Marco Giuliani mette a disposizione la lista intera dei siti scoperti, tra i quali compaiono anche siti legati al mondo delle Anime, dell’informazione, piccoli siti privati di persone ed associazioni, nonché tutta una serie di siti civetta che potrebbero raccogliere “trash traffic” veicolandone i risultati verso pagine compromesse.
«Il dropper scaricato nel PC della vittima attraverso gli exploit è al momento individuato, stando ad una scansione su VirusTotal, da soli 10 antivirus su 41 testati. Una volta eseguito, si connette all’indirizzo IP 72.51.41.83 da dove scarica la seconda parte dell’infezione, che si occuperà di installare il rootkit vero e proprio». Impossibile carpire la causa del problema, anche se al momento sembra da escludersi la possibilità di una vulnerabilità nei server Aruba: «Rimarrebbe l’ipotesi di una compromissione lato server, che potrebbe combaciare anche se i siti web sono sparsi tra vari indirizzi IP. I pirati informatici potrebbero voler non dare troppo nell’occhio ed evitare di far vedere di avere libero accesso ai server. Facendo così, colpendo pochi siti web e sparsi tra i vari server, apparirebbe come una lacuna lato client, colpa di qualche webmaster distratto e di qualche e-mail di phishing ben costruita».
Marco Giuliani, ricercatore Prevx, segnala il fatto che l’utenza utilizzante le soluzioni del gruppo sono al riparo da ogni eventuale pericolo incrociato sui siti compromessi. Vari domini sono comunque stati presto bonificati, ripuliti degli JavaScript maligni e risanati dai pericoli che l’utenza in arrivo sarebbe stata destinata ad affrontare.