Prende in ostaggio i siti altrui e da lì agisce per manipolare i risultati di ricerca di Google: Gumblar, diffuso già dallo scorso marzo, si è fatto più aggressivo nelle ultime settimane grazie anche ad un morphing di dominio.
Ed è stata proprio la crescita esponenziale nel numero di infezioni, da 800 a 3000 casi segnalati nell’ultima settimana, secondo ArsTechnica , ad attirare l’attenzione degli analisti di sicurezza e della stessa unità anticrisi informatica federale USA, il Computer Emergency Readiness Team ( US-CERT ).
Attraverso Gumblar, spiega PCWorld , i cracker puntano a modificare in modo artificioso i risultati di ricerca ottenuti sulle macchine infette, indirizzando gli utenti verso siti fraudolenti o comunque pericolosi. Il virus agisce secondo un tipico schema multi-stage . Dapprincipio Gumblar si “intrufola” nei siti sfruttando le falle presenti nelle applicazioni web meno protette e nelle configurazioni locali delle macchine, o più semplicemente attraverso credenziali FTP rubate.
Dopodiché, una volta che un utente ignaro visita uno dei siti infetti, installa sui computer-bersaglio il proprio malware attraverso una qualsiasi delle falle che riesce a scovare. Da questo momento in poi, gli utenti che svolgono dei search con Google dalla macchina infettata vedono i propri risultati di ricerca alterati, con la comparsa di URL che rimandano a spazi illegali.
Ma l’installazione del malware sul singolo server è funzionale anche alla sua propagazione successiva. Se le macchine di coloro che visitano il sito infetto non sono debitamente aggiornate – con particolare riferimento, spiega US CERT, ai software per la visualizzazione per PDF e Flash – il malware si trasmetterà anche a queste ultime. Tentando anche qui di trafugare credenziali, distorcere i risultati di ricerca e diffondersi ulteriormente.
La prima ondata di attacchi Gumblar risale allo scorso marzo, e sulle prime sembrava che il fenomeno potesse essere arrestato. Il virus era stato esaustivamente descritto sui siti di settore , e gli stessi responsabili security di Google avevano provveduto a escludere dai propri database i siti infetti. Ma tanto ottimismo era mal riposto. Nelle scorse settimane, spiega uno dei blog di ScanSafe, il malware in questione ha subito un nuovo morphing , in virtù del quale il codice maligno non viene più ripreso dal dominio gumblar.cn ma da un altro, martuz.cn . Ed è così che il virus ha ripreso a diffondersi.
Giovanni Arata
Ti potrebbe interessare
22 mag 2009