1.100 diversi nomi a dominio, tutti con desinenza italiana .it, tutti simili e relativi a nomi noti del panorama web nostrano. Trattasi insomma di un pesante attacco all’utenza del Bel Paese, la quale si trova messa a rischio da tutta una serie di falsi siti web che propongono un sapiente mix di url ed immagini per trarre in inganno e propinare file .exe a tradimento.
Un caso concreto è stato proposto su Edit: un dominio simile a quello del sito ufficiale della Gazzetta dello Sport indirizza in realtà ad una pagina avente un falso motore di ricerca, una falsa toolbar, un falso video con una ragazza in abiti succinti e tutto ideato per scatenare l’istinto al click con conseguente download di un vero e pericoloso .exe. Il coinvolgimento del sito segnalato su Edit con l’elenco fornito da Sunbelt è dimostrato dalla comunanza delle immagini pubblicate su entrambi i blog.
Il dominio in questione sarebbe però semplicemente uno dei molti già elencati in un apposito pdf in cui è possibile riscontrare domini in qualche modo correlati ai nomi eBay, Alitalia, Pagine Gialle, Gazzetta dello Sport, Corriere della Sera, Repubblica, Supereva, Virgilio, Tuttogratis, Google, Ferrari, Tiscali, Kataweb, Libero, MSN, Pagine Bianche, Alice ed altri ancora. Il rischio è del tutto evidente: un url digitato in modo errato ed un click inopportuno possono scatenare un download ed un dialer, il tutto ottimizzato per l’utenza italiana e nato probabilmente proprio in Italia.
A segnalare originariamente il pericolo incombente è stato Marco Giuliani su Pcalsicuro: «[…] un Trojan.Hijacker spesso modificato nella forma per evitare i controlli delle firme virali da parte dei software antivirus, fino ad arrivare a cambi radicali in queste ultime versioni di Maggio. Cambio nella forma, ma non nella sostanza. Continua a modificare Internet Explorer, la home page e aggiunge alla lista dei siti attendibili siti infetti, continua ad avere funzioni di dialer. Continua ad essere sempre più “italiano”. I testi delle e-mail sono sempre scritti in italiano fluente e corretto, ma non è solo questo il punto che fa sospettare una possibile natura italiana del malware».
I domini, registrati al NIC, sarebbero tutti di proprietà di tale Bojarovs Aleksejs, ma «la società che ha registrato i domini risponde a Prolat, maintainer già da tempo al centro di critiche legali per attività di typosquatting». Tutti i domini reindirizzerebbero ad uno stesso server, ospitato negli Stati Uniti, e l’attività sarebbe concentrata specificatamente sulla distribuzione di malware.
Marco Giuliani segnala altresì il fatto che al momento della prima segnalazione l’elenco degli antivirus in grado di identificare la variante specifica del malware in questione era composto da: Prevx, Kaspersky (e derivati), Avira, BitDefender, AVG, OneCare, Sophos e Norman.