PHP.net usato per attaccare i visitatori

I cracker sono riusciti ad accedere ai server del sito e a modificare un file JavaScript per attivare il download del malware sui computer dei visitatori.
PHP.net usato per attaccare i visitatori
I cracker sono riusciti ad accedere ai server del sito e a modificare un file JavaScript per attivare il download del malware sui computer dei visitatori.
Luca Colantuoni
Pubblicato il 25 ott 2013

Ieri mattina, Firefox e Chrome hanno impedito agli utenti di accedere al sito PHP.net, mostrando un messaggio di pericolo che segnalava la presenza di un malware. I gestori del sito e il creatore del linguaggio Rasmus Lerdorf avevano ipotizzato un’errata rilevazione da parte del servizio Safe Browsing usato dai browser di Mozilla e Google. In realtà, si è trattato di un vero e proprio attacco cracker. Qualcuno è riuscito ad iniettare codice JavaScript infetto che installava un malware sui computer dei visitatori.

Un’indagine più approfondita ha permesso di individuare la causa del problema. L’attacco è iniziato il 22 ottobre, quanto i cracker sono riusciti ad effettuare l’accesso ad alcuni server di PHP.net, utilizzando la chiave privata del certificato SSL. Il server che ospita i domini www.php.net, static.php.net e git.php.net, e il server che ospita il dominio bugs.php.net sono stati compromessi. Non è noto tuttavia il metodo utilizzato per compiere l’attacco. I gestori del sito hanno spostato questi domini su nuovi server e revocato il certificato. L’accesso avverrà quindi senza SSL, finché non verrà installato un nuovo certificato.

I Kaspersky Labs e altri ricercatori di sicurezza hanno scoperto che il codice JavaScript infetto è stato copiato nel file userpref.js. Quando l’utente apriva il sito PHP.net, il codice inviava una richiesta a numerosi server command-and-control, dai quali scaricava il malware Tepfer sviluppato per sfruttare una vulnerabilità di Adobe Flash Player.

Fortunatamente il numero di utenti colpiti dall’attacco è molto limitato, in quanto il processo di sincronizzazione rsync ripristina il file userpref.js originario dopo pochi minuti. Il crawler del servizio Safe Browsing ha probabilmente catturato la finestra temporale durante la quale era in esecuzione il file infetto e pertanto gli utenti hanno visto il warning su Firefox e Chrome.

Ti consigliamo anche

YouTube rende più complicato trovare il pulsante per saltare gli annunci
Software e App

YouTube rende più complicato trovare il pulsante per saltare gli annunci
WhatsApp aggiunge nuovi sfondi e filtri per le videochiamate
Software e App

WhatsApp aggiunge nuovi sfondi e filtri per le videochiamate
Novità WhatsApp: arrivano i Mi piace allo stato e le menzioni private
Software e App

Novità WhatsApp: arrivano i Mi piace allo stato e le menzioni private
L'app Google si aggiorna e facilita la ricerca dei brani musicali
Software e App

L'app Google si aggiorna e facilita la ricerca dei brani musicali
Link copiato negli appunti