Trend Micro ha rilevato un attacco Web che ha compromesso oltre mezzo milione di pagine online. Sui siti colpiti è stato inserito uno script maligno (JS_SMALL.QT) derivante da una implementazione inadeguata del pacchetto PHP Bulletin Board (o phpBB, un noto programma software per la gestione di forum su Internet). Collegandosi a un sito infetto, gli utenti vengono a loro volta contagiati con una variante della famiglia ZLOB (TROJ_ZLOB.CCW) che finge di installare un codec video. Quando i visitatori scaricano i falsi codec video, effettuano in realtà il download di alcuni programmi Trojan:
• TROJ_DNSCHANG.CS
• TROJ_ALUREON.AE
• TROJ_ALUREON.AH
• TROJ_ALUREON.AI
Queste tipologie di Trojan sono note per modificare il server DNS e i settaggi del browser Internet del sistema coinvolto nell’attacco, rendendolo quindi vulnerabile anche a ulteriori minacce.
Molti siti Web sono già stati compromessi con messaggi di spam fasulli con contenuti farmaceutici e pornografici. Pare che la prima infezione di questo tipo sia avvenuta a febbraio 2008 e gli episodi di infezione avrebbero riguardato forum e guest book, le cui pagine online sono ora inaccessibili in quanto reindirizzano automaticamente gli utenti verso un sito pornografico per il download di un finto codec video.
Secondo Ivan Macalintal, Advanced Threats Research Manager di Trend Micro, “Questo attacco è del tutto simile a quelli che rileviamo sul Web a livello mondiale; è sufficiente visitare un sito infetto per essere dirottati verso altre destinazioni online dalle quali vengono scaricate diverse forme di malware”.
Il codice malware risiede su server situati a Columbus (in Ohio), a Concord (in California) e a Mosca. Questo attacco è molto probabilmente opera di una organizzazione cyber-criminale russa/ucraina già responsabile durante lo scorso anno della serie di attacchi ZLOB.
La tecnologia di protezione dalle minacce Web sviluppata da Trend Micro riesce a bloccare possibili contagi vietando l’accesso alle pagine pericolose. Gli esempi di malware sopra elencati sono previsti dalla soluzione, garantendo così una tutela superiore.
Per maggiori informazioni su questa minaccia e su altri attacchi: http://blog.trendmicro.com
Per gli utenti domestici, Trend Micro ha reso disponibile un nuovo strumento denominato Web Protection Add On che incrementa ulteriormente il livello di protezione per gli utenti. Per scaricare il nuovo tool: http://us.trendmicro.com/us/products/enterprise/web-protection-add-on/.
Gli utenti possono inoltre effettuare la scansione dei loro computer con HouseCall, lo scanner gratuito online per il rilevamento del malware messo a disposizione da Trend Micro all’indirizzo http://housecall.trendmicro.com.
Tutti i nomi di prodotti e aziende citati appartengono ai rispettivi proprietari.