Una nuova ondata di infezioni sta imperversando in Internet in questi giorni. Sarebbero 30.000 i siti web che già sono stati manipolati.
Non c’è alcun legame o fattore comune tra le risorse contagiate.
Si passa indistintamente da quelle e-commerce a quelle governative senza alcuna preferenza di sorta: la certezza è che si sta propagando a macchia olio.
I portali in questione sono stati alterati con l’inoculazione di codice javascript offuscato e realizzato sulla falsa riga dell’utile script “Google Analytics”.
La tecnica di presentare in maniera occulta il carico maligno, rende l’operazione di ricognizione delle pagine web interessate tanto ostica da far sì che il conseguente rilevamento richiede una scrupolosa e capillare analisi.
In realtà a correre i veri rischi, però, non sono i webmaster, ma – come sempre – i poveri navigatori.
Infatti una volta acceduti alla pagina web infetta, la connessione del visitatore viene dirottata verso dei server – in mano al pirata – che avranno il compito di scandagliare il PC alla ricerca di ben dieci vulnerabilità da utilizzare.
Laddove l’utente fosse una persona premurosa ed accorta, è stata prevista una contromossa da ultima spiaggia per far capitolare anche il calcolatore più corazzato.
Lo stratagemma prevede – fatto non nuovo – l’apertura di un pop-up che avverte della presenza di un virus nell’elaboratore e la conseguente proposta di “cliccare” su un link dove sarà possibile scaricare un applicativo di protezione che risolverà ogni problema.
L’antivirus proposto – ovviamente – piuttosto che curare non farà altro che aprire una porta d’accesso secondaria nel computer.
L’individuazione da parte dei legittimi strumenti di protezione installati è resa impossibile a causa della caratteristica di essere un malware polimorfico e che, quindi, mutando costantemente la sua impronta digitale fa sì che ogni tentativo di intercettazione risulti vano.
Una volta portato a termine l’attacco, infatti, il file corrotto – nel caso esaminato sysCF.tmp.exe – che viene avviato sulla postazione del malcapitato è stato capace di passare inosservato alla maggioranza dei software di difesa: solo il 10% dei 39 utilizzati ne ha segnalato la presenza.
La Websense – che ha scoperto l’epidemia – ha riscontrato nella tattica adoperata delle affinità con l’operato della nota quanto famelica RBN – Russian Business Network -, tuttavia non vi sarebbero elementi sufficienti da far credere in un effettivo legame con questa organizzazione criminale.
Piuttosto, l’ipotesi più realistica sarebbe che qualcuno abbia voluto riciclare delle tecniche – già utilizzate dal gruppo underground e quindi di dominio pubblico – utilizzando il codice facilmente rinvenibile nella Rete
