Dai giornali ai newsgroup, mille di questi trojan

Malware sparati da siti ritenuti affidabili, che dovrebbero esserlo: non ci sono solo siti dove scaricare suonerie, sfondi del desktop e salvaschermi, ripieni di sorprese poco piacevoli per l’incauto navigatore. Anche quotidiani prestigiosi come il New York Time , o autentiche eminenze grigie della Rete come Google, possono incappare in curiosi “incidenti di percorso”.

È il caso dunque del New York Times , nei cui banner pubblicitari nei giorni scorsi si è annidato un annuncio “non autorizzato” progettato per spingere l’ignaro utente verso un sito dispensatore di rogue software , un falso antivirus installato surrettiziamente sotto la falsa minaccia di false infezioni propagatesi su tutto il sistema.

Il celebre quotidiano consiglia ai propri visitatori di non cliccare sul link incriminato e di chiudere e riavviare il browser, raccomandazione che a quanto pare risulta in linea con le testimonianze di chi sostiene di essersi trovato con il browser “dirottato” verso il sito best-antivirus03.com e nell’impossibilità di uscire dalla pagina fraudolenta se non attraverso una chiusura forzata del browser.

Che un codice JavaScript malevolo possa finire sulle pagine rinomate del NYT non è certo uno scandalo, visto che non mancano i precedenti come nel caso che all’inizio dell’anno ha coinvolto il network di advertising DoubleClick (ora proprietà di Google). Nell’eterna ricerca del modo più efficace per condurre i propri loschi affari, i cyber-criminali non disdegnano di abusare di qualsiasi veicolo a loro disposizione: a parte l’advertising l’ultima tendenza in tal senso è quella rappresentata dai canali di aggregazione e social networking più diffusi.

A pochi verrebbe in mente di tenere sotto controllo i gruppi di discussione di Google nel tentativo di scovare un centro di comando&controllo di una botnet, e infatti proprio Google Groups è il veicolo sfruttato dal malware che Symantec identifica come Trojan.Groups per distribuire comandi e aggiornamenti in direzione dei PC zombi coinvolti nel network malevolo.

“Integrando messaggi C&C all’interno di comunicazioni valide diventa più difficile identificare e mettere fuori gioco le fonti” scrive l’analista di Symantec Gavin O Gorman, notando come in questo caso la responsabilità non sia di Google in quanto Groups si limita a fare da fornitore neutrale in un sistema di utilizzo innovativo (ancorché criminale) di tecnologie di comunicazione legittime.

E di tecnologie legittime si tratta anche nel caso di quella che dovrebbe essere la “prima botnet di web server zombi” di cui si abbia notizia. L’ha scoperta il ricercatore indipendente russo Denis Sinegubko, scovando una rete composta da un centinaio di nodi composti da server basati su diverse distribuzioni di Linux infette (altra prima volta di non secondaria importanza) che, accanto al tradizionale webserver Apache, facevano girare un server nginx “ombra” con il compito di distribuire malware in lungo e in largo per il web.

Veicolando traffico malevolo sulla porta TCP/IP 8080 la “botnet di botnet” iniettava codice malevolo su siti legittimi, cosa ancora più preoccupante, era a sua volta connessa a una botnet di client che i cyber-criminali potevano così gestire in maniera maggiormente flessibile. Le dimensioni relativamente ridotte della super-botnet lasciano supporre che si possa trattare di una qualche sorta di esperimento da parte di hacker black-hat , suggerisce Sinegubko, anche se il ricercatore non esclude che possa trattarsi solo di una parte di un network ancora più esteso.

In ogni caso, pare che la falla aperta nei server Linux non sia da imputare al pinguino: di errore umano e password prevedibili si tratterebbe, e dunque gli admin che hanno fatto il proprio dovere possono dormire (ancora) sonni tranquilli.

Alfonso Maruccia