Vedi il banner e poi muori

Nei giorni scorsi il circuito banner di un'agenzia pubblicitaria ha cominciato a sparare trojan ai visitatori di diversi siti Web, tra cui una celebre e-zine inglese. Ecco i dettagli del clamoroso attacco

Roma - L'idea alla base del famoso attacco Download.Ject, che sfruttò le immagini presenti su alcuni siti web per diffondere un pericoloso worm, sembra aver fatto scuola. A diversi mesi di distanza da quell'episodio, infatti, ignoti cracker si sono avvalsi di un circuito di banner pubblicitari per infettare un imprecisato numero di navigatori del Web.

Il trojan è stato scoperto all'interno di alcuni banner della società Falk AG veicolati attraverso diversi siti web nordeuropei, tra i quali la ben nota e-zine inglese The Register: quest'ultima, accortasi del problema lo scorso sabato, ha temporaneamente bloccato tutta la pubblicità proveniente da Falk.

In un articolo, The Register ha spiegato che i banner incriminati installavano nei PC vulnerabili un exploit noto come Bofra, lo stesso contenuto all'interno di alcune recenti varianti del worm MyDoom. Ciò che rende Bofra particolarmente insidioso è la sua capacità di sfruttare un grave bug di Internet Explorer, relativo alla non corretta gestione di certi attributi del tag IFRAME, per il quale non esiste ancora nessuna patch. Chi ha installato il Service Pack 2 per Windows XP, o utilizza un browser diverso da IE, non corre rischi.
"(I problemi) sono iniziati sabato mattina con l'attacco di un cracker ad uno dei nostri sistemi di bilanciamento del carico", ha spiegato ieri Falk in un comunicato. "Questo attacco ha utilizzato un punto debole di questo specifico tipo di sistema per il bilanciamento del carico (...) e ha fatto in modo che le richieste (HTTP, NdR) non passassero per i nostri server di advertising ma fossero redirette verso un sito compromesso. Questo accadeva ogni circa 30 richieste".

Falk sostiene, dunque, che Bofra veniva scaricato da un sito web malevolo verso cui i cracker hanno dirottato parte delle connessioni provenienti dai banner. L'azienda ha stimato che gli utenti coinvolti nell'incidente sono "un piccolo numero", numero quantificato con il 2% di un totale che, però, non è stato reso noto.

In questo advisory il SANS Institute raccomanda con enfasi agli utenti di Internet Explorer 6 di utilizzare un altro browser fino a che Microsoft non correggerà il bug legato ad IFRAME. Un ricercatore di sicurezza ha anticipato il big di Redmond rilasciando una patch per IE, mossa che, nell'ambiente della cyber security, ha però riacceso il dibattito sui rischi relativi all'uso di patch non ufficiali.
39 Commenti alla Notizia Vedi il banner e poi muori
Ordina
  • Ciao,
    per questioni di privacy, non faccio il mio nome,
    ma posso garantirvi che la cosa non è esattamente così! o meglio, in parte lo è.
    sono un ...xyz dell'azienda tirata in causa, e tutto ciò non ha a che vedere con cracker o altro si voglia pensare.
    Voglio solo mettervi una pulce nell'orecchio, visitate il loro sito a questo url http://www.falkag.com/news.php?Id=2 , fate 2+2, e vedrete che il risultato è 5.
    inoltre chi ha installato google toolbar, è esposto a questo problema, ...forse perchè viene spacchettato il codice iniziale? o forse perchè grabbano le url di richiesta? bho! a voi il pensiero.
    premetto che in questo mondo di admanagment ci sono da quando è iniziata la storia

    p.s.: da quando in quà un'azienda come si diceva prima lascia i balancing aperti o vulnerabili? forse è meglio dire che tutto ciò l'azienda è consapevole? o meglio, l'hanno inserito loro per svincolare i blocker? solito dilemma..meditate gente..meditate
    non+autenticato
  • e vai tranquillo! Poi se vuoi fare il serio metti su Adblock Sorride

    Fan Linux
    non+autenticato
  • Questo attacco è sola la punta di un grosso
    Iceberg, che è emersa soltanto oggi.

    In realtà già da 2 mesi è in corso una massiccia
    compromissione di web server Apache col fine
    di redigere gli utenti su siti contenenti ogni sorta
    di trojan ed exploit per IE.

    L'attacco usa un sofisticato rootkit in grado di
    intercettare i pacchetti HTTP in uscita dai server
    modificandoli in tempo reale.

    Tutti i dettagli qui :
    http://www.vitalsecurity.org/xpire-splitinfinity-s...

    Ing. Elia Florio
    non+autenticato

  • - Scritto da: Anonimo
    > Questo attacco è sola la punta di un
    > grosso
    > Iceberg, che è emersa soltanto oggi.
    >
    > In realtà già da 2 mesi
    > è in corso una massiccia
    > compromissione di web server Apache col fine
    > di redigere gli utenti su siti contenenti
    > ogni sorta
    > di trojan ed exploit per IE.
    >
    > L'attacco usa un sofisticato rootkit in
    > grado di
    > intercettare i pacchetti HTTP in uscita dai
    > server
    > modificandoli in tempo reale.
    >
    > Tutti i dettagli qui :
    > www.vitalsecurity.org/xpire-splitinfinity-ser
    >
    > Ing. Elia Florio
    Chi gestisce siti un minimo frequentati e con un minimo di professionalita' e' al corrente e ha, in genere, provveduto nella stragrande maggioranza dei casi.
    Il vero problema sono i siti "personali" o "semipersonali" in "hostingapocoprezzo" e "danessunomonitorati" fortunatamente (o ...dovrei dire sfortunatamente) questi siti (molto piu' spesso basati su IIS) sono si a rischio... ma sono anche (in genere) vulnerabili a exploit ben peggiori!
    I dati sulla rapididita' e diffusione di questo worm non sono al momento piu' preoccupanti di altri .. anzi!
    Purtroppo! (e sottolineo purtroppo)
    Basta vedere quanto e come sono diffusi gli "ZOMBIES" a scopo di "lucrospam" per rendersi conto che ci sono exploit ben peggiori e "socialmente" costosi (o lucrativi... dipende dai punti di vista)... Occhiolino
    non+autenticato
  • ...NON usare Internet Explorer, che quanto a buchi farebbe l'invidia di una forma di Emmental; gli strumenti ci sono (Opera e Mozilla, ad esempio, entrambi eccellenti), dobbiamo solo consigliarli agli utenti e fare opera di sensibilizzazione in tema di sicurezza, poiché in ogni rete (quindi Internet inclusa) la sicurezza altrui è presupposto fondamentale per la nostra stessa sicurezza (e qui non è questione di Window$ o meno, si può avere un sistema ragionevolmente sicuro anche usando Window$).

    Fra l'altro colgo l'occasione per sottolineare un aspetto del messaggio, ossia che gli utenti che usano Window$ XP SP2 sono al riparo da questi rischi: ciò sottintende che tutti coloro i quali usano o Window$ XP senza l'SP2 o altre versioni di Window$ sono esposti al rischio.

    Non so se ci avete fatto caso, ma la recente politica di Micro$oft è quella di aggiornare praticamente solo XP e 2003 $erver, mentre gli altri sistemi operativi (incluso il 2000, che personalmente uso e trovo tuttora validissimo e che - è bene ricordarlo - ha SOLO 4 anni di vita...) vengono via via lasciati a sé stessi, con un numero sempre minore di aggiornamenti sia quanto a numeri, sia quanto a frequenza, sia quanto ad importanza; ciò che mi rende alquanto evidente il fatto che Redmond sta "viscidamente" spingendo gli utenti ad adottare XP/2003 Server.

    Trovo a dir poco irresponsabile e scorretto questo modo di agire di Micro$oft, che personalmente mi sta spingendo ad una migrazione verso Linux e Mac (ora i computer con i rispettivi sistemi operativi li ho, tempo solo di far pratica e poi comincerò via via ad accantonare, anche se mi spiacerà, Window$ 2000).

    Credo che gli utenti, in massa (perché, ricordiamolo, siamo noi utenti ad avere il potere assoluto nell'ambito commerciale, che è la facoltà di scegliere), dovrebbero sia reclamare a gran voce con Micro$oft, sia cominciare a riflettere su questo evidente dato di fatto per tirare le loro conclusioni e scegliere, se subire supinamente questo quantomeno discutibile modo di agire, oppure se riprendersi il diritto di scegliere e di farsi valere, dato che quando abbiamo acquistato la licenza d'uso di W2K i nostri soldi NON erano né di seconda scelta, né rubati o trovati nell'orto!

    Open your eyes, people...Sorride

  • - Scritto da: vince65
    > ...NON usare Internet Explorer, che quanto a
    > buchi farebbe l'invidia di una forma di
    > Emmental; gli strumenti ci sono (Opera e

    ma io me ne frego e continuo a usare IE, tra l'altro non ho mai avuto problemi
    non+autenticato

  • - Scritto da: Anonimo
    >
    > ma io me ne frego e continuo a usare IE, tra
    > l'altro non ho mai avuto problemi

    noto che sei un genio....
    cmq il problema degli os non sussiste se hai una conoscenza minima dei p2p dell'inglese e ti server x casa... ti scarichi un win xp pro sp2 corporate ed è tutto risoltoOcchiolino
    non+autenticato
  • > - Scritto da: vince65

    > ma io me ne frego e continuo a usare IE, tra
    > l'altro non ho mai avuto problemi

    Eccone un altro che non ha dati importanti sul proprio computer.
    non+autenticato
  • Credo di aver beccato uno di questi worm da banner una settimana fa.
    Di solito per navigare uso mozilla ma un attimo di distrazione o smarrimento informatico (mea maxima culpa) mi ha fatto usare internet explorer per effetturare la ricerca di cheats per un videogioco.
    Google mi ha portato in un sito di vg, non ricordo quale, dove per un attimo ho visto una barra di avanzamento, tipo flash: la cosa pero' mi ha insospettito ed ho controllato il task manager.
    Subito ho beccato il piccolo bastardo: si cammuffava da winamp (winampa.exe) ma io non ce l'ho installato, furbo ma non a sufficienza.
    Poi ho trovato le solite cose: un exe nella root, un altro eseguibile con un nome casuale tipo asjhaksjh.exe in system32 e la stringa di esecuzione automatica nel registro di windows.
    Ho rimosso tutto e, gia' che c'ero, ho installato l'ultima versione di firefox con adblock e il tema Noia 2.0 extreme che fa tanto ieratico Sorride
    Comunque, ero convinto che il worm si fosse installato sfruttando un activex come fanno i dialer, non sapevo di questa falla dei banner, o dei IFRAME ? boh.
    ciao

    Giggi
    non+autenticato
  • > adblock e il tema Noia 2.0 extreme che fa
    > tanto ieraticoSorride
    Scusa, mi spieghi perche' Noia 2.0 Extreme fa tanto ieratico?A bocca aperta

  • - Scritto da: uibbs2
    > > adblock e il tema Noia 2.0 extreme che
    > fa
    > > tanto ieraticoSorride
    > Scusa, mi spieghi perche' Noia 2.0 Extreme
    > fa tanto ieratico?A bocca aperta

    Vabbe' dai, e' uno dei temi che mi piace di piu'
    8)

    Giggi
    non+autenticato

  • - Scritto da: Anonimo
    > Credo di aver beccato uno di questi worm da
    > banner una settimana fa.
    > Di solito per navigare uso mozilla ma un
    > attimo di distrazione o smarrimento
    > informatico (mea maxima culpa) mi ha fatto
    > usare internet explorer per effetturare la
    > ricerca di cheats per un videogioco.

    lascia che IE lo usino i professionisti, ovvero quelli che come me non hanno mai preso un virus in 10 anni
    non+autenticato
  • - Scritto da: Anonimo

    > lascia che IE lo usino i professionisti,
    > ovvero quelli che come me non hanno mai
    > preso un virus in 10 anni

    Be', complimenti.
    Per combinazione, anch'io mi presi un Ohio per MS-DOS nel 1994, come ultimo virus. Preferisco comunque browser alternativi perche`, a dispetto dei 6 backup totali su 6 HD diversi, e della presenza del ghost disk, giocare a "scansa il worm" non mi piacerebbe...
    non+autenticato

  • - Scritto da: Alex¸tg
    > - Scritto da: Anonimo
    >
    > > lascia che IE lo usino i professionisti,
    > > ovvero quelli che come me non hanno mai
    > > preso un virus in 10 anni
    >
    > Be', complimenti.
    > Per combinazione, anch'io mi presi un Ohio
    > per MS-DOS nel 1994, come ultimo virus.
    > Preferisco comunque browser alternativi
    > perche`, a dispetto dei 6 backup totali su 6
    > HD diversi, e della presenza del ghost disk,
    > giocare a "scansa il worm" non mi
    > piacerebbe...
    per combinazione io non ne ho mai presi. Sarà
    fortuna o perchè la mattina accendo il cervello?
    non+autenticato

  • - Scritto da: Anonimo

    > lascia che IE lo usino i professionisti,
    > ovvero quelli che come me non hanno mai
    > preso un virus in 10 anni

    SI' SI' SI' ...

    Giggi
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | Successiva
(pagina 1/3 - 11 discussioni)