Roma – Potrebbe essere solo la punta dell’iceberg il clamoroso attacco che, di recente, ha utilizzato un circuito di banner pubblicitari per diffondere un pericoloso worm.
Elia Florio, esperto di sicurezza consultato da Punto Informatico, ha sottolineato come ormai da alcuni mesi sia in corso un massiccio attacco contro numerosi siti che utilizzano Apache su piattaforma Unix/Linux. A quanto pare i cracker penetrano sui server sfruttando vecchie vulnerabilità di OpenSSL, PHP ed altri software open source, e installano sui sistemi compromessi un agente malevolo, conosciuto come “suckit”, che si annida nel sistema operativo fornendo ai cracker il controllo totale della macchina.
L’obiettivo finale dei cracker è quello di tramutare i server Web così violati, tra cui quelli di siti molto frequentati, in untori inconsapevoli di vari tipi di codice malevolo: questo viene “iniettato” sui PC degli utenti sfruttando l’ormai famosa falla di Internet Explorer, ancora senza patch, relativa all’attributo IFRAME.
“Il malware punta ad alcuni domini esteri contenenti ogni sorta di exploit per IE e ogni tipo di trojan/backdoor”, ha spiegato Florio. “Dalle analisi, le macchine compromesse sono numerose, molte risiedono anche in Italia e montano tutte Linux con una versione di Apache inferiore alle 1.3.31”.
Fra l’altro, secondo Florio, molti dei codici malevoli distribuiti dai bot non vengono neppure riconosciuti dagli antivirus. Ma il vero pericolo sta nel fatto che buona parte dei PC infettati si trasformano in “zombie”, ossia macchine controllabili da remoto che, nel momento opportuno, possono essere utilizzate all’unisono dai criminali come teste di ponte per aggressioni di vario genere.
I primi attacchi sembrano risalire allo scorso mese di aprile, ma la vera ondata si è registrata a partire da ottobre. Florio ipotizza che l’obiettivo di queste azioni sia quello di creare un'”enorme botnet di zombie” adatta a lanciare attacchi di tipo distributed denial of service (DDoS), oppure quello di raccogliere dati personali e carte di credito.
Sebbene nelle scorse settimane molti dei siti che facevano parte del botnet sono stati chiusi o sanati, attualmente ve ne sono ancora diversi che continuano a sparare dardi avvelenati contro gli utenti di IE. Gli esperti hanno ribadito che chi utilizza browser diversi da IE, come Mozilla ed Opera, non corre alcun rischio.
L’esperto di sicurezza Christopher Boyd, con la collaborazione di Florio Eric Howes ed altre persone, ha recentemente redatto un’ approfondita analisi (in formato PDF) degli attacchi che sfruttano la vulnerabilità IFRAME di IE, segnalando inoltre al SANS Institute la lista dei siti che stanno attualmente diffondendo i codici malevoli. Stando a quanto comunicato nelle scorse ore dal SANS, ci si può attendere che tali siti saranno al più presto controllati ed eventualmente chiusi.
Ti potrebbe interessare
26 nov 2004