Alcuni ricercatori della compagnia ‘Exploit Prevention Labs‘ hanno individuato sul portale MySpace un certo numero di pagine compromesse, tra cui le sezioni dedicate alla famosa contante Alicia Keys, ai Greements of Fortune (una funk band francese) e ai Dykeenies (una rock band di Glasgow). L’infezione dirotta gli ignari visitatori ad un sito cinese, il quale ha il compito di installare nel loro sistema un rootkit e molto probabilmente un DNS changer; tale espediente potrebbe permettere ai malintenzionati di osservare (e redirezionare) i siti visitati dalle vittime e i file da loro scaricati.
«Le pagine di MySpace in questione sono state sottoposte ad una specie di iniezione di link sotto forma di immagini di sfondo», spiega Roger Thompson, chief technology officer agli Exploit Prevent Labs nel suo blog. Invece di utilizzare il tag iframe, i malintenzionati hanno infatti aggiunto alle pagine una specie di immagine di sottofondo dalle generose dimensioni (8000 x 1000 pixel); di conseguenza, se la vittima clicca anche solo leggermente al di fuori di un collegamento, viene portata all’indirizzo co8vd.cn/s, appartenente ad un sito cinese. A questo punto appare un messaggio sullo schermo che avvisa della necessità di installare un determinato componente ActiveX in grado di assicurare la presenza nel sistema dei codec necessari alla visione dei contenuti delle pagine. Naturalmente si tratta di un escamotage per infettare la macchina del malcapitato, ma la cosa è alquanto credibile poichè le pagine presenti su MySpace presentano spesso una grande ricchezza di contenuti multimediali. «Il fatto è che il sito è molto ricco di media, con molti suoni e video, il che significa che il trucco del falso codec è molto efficace. Chi clicca si aspetta di vedere un video o ascoltare una canzone, e pensa che sia veramente necessario installare qualcosa», spiega Thompson.
Non è ancora stateo chiarito come i cracker siano riusciti a compiere tale operazione, nè la diffusione dell’infezione: «Nè Google nè MySpace sembrano indicizzare i bit critici dell’html», ha spiegato Thompson. «Se cercate il sito che genera l’exploit (co8vd.cn), ottenete solamente informazioni da parte delle vittime o ciò che altre persone dicono riguardo ad esse».
Il sito di Alicia Keys è stato prontamente ripulito dai responsabili del portale nel giro di un paio d’ore, ma sembra essere stato ancora preso di mira dai cracker. Scrive Thompson nel suo ultimo post: «sembra sia stato infettato di nuovo!». L’originale riferimento all’indirizzo co8vd.cn/s/ non è più presente, ma ora è apparsa in una immagine con referenza href all’indirizzo acilot.cn/s/, attualmente non funzionante, ma che potrebbe essere attivata in qualsiasi momento. «Infettato… pulito in un paio di ore… infettato ancora… alquanto divertente».