Giovanni Arata

Gumblar confonde Google

Nuova ondata di attacchi: il malware altera i risultati di ricerca web indirizzando gli utenti su siti fraudolenti

Roma - Prende in ostaggio i siti altrui e da lì agisce per manipolare i risultati di ricerca di Google: Gumblar, diffuso già dallo scorso marzo, si è fatto più aggressivo nelle ultime settimane grazie anche ad un morphing di dominio.

Ed è stata proprio la crescita esponenziale nel numero di infezioni, da 800 a 3000 casi segnalati nell'ultima settimana, secondo ArsTechnica, ad attirare l'attenzione degli analisti di sicurezza e della stessa unità anticrisi informatica federale USA, il Computer Emergency Readiness Team (US-CERT).

Attraverso Gumblar, spiega PCWorld, i cracker puntano a modificare in modo artificioso i risultati di ricerca ottenuti sulle macchine infette, indirizzando gli utenti verso siti fraudolenti o comunque pericolosi. Il virus agisce secondo un tipico schema multi-stage. Dapprincipio Gumblar si "intrufola" nei siti sfruttando le falle presenti nelle applicazioni web meno protette e nelle configurazioni locali delle macchine, o più semplicemente attraverso credenziali FTP rubate.
Dopodiché, una volta che un utente ignaro visita uno dei siti infetti, installa sui computer-bersaglio il proprio malware attraverso una qualsiasi delle falle che riesce a scovare. Da questo momento in poi, gli utenti che svolgono dei search con Google dalla macchina infettata vedono i propri risultati di ricerca alterati, con la comparsa di URL che rimandano a spazi illegali.

Ma l'installazione del malware sul singolo server è funzionale anche alla sua propagazione successiva. Se le macchine di coloro che visitano il sito infetto non sono debitamente aggiornate - con particolare riferimento, spiega US CERT, ai software per la visualizzazione per PDF e Flash - il malware si trasmetterà anche a queste ultime. Tentando anche qui di trafugare credenziali, distorcere i risultati di ricerca e diffondersi ulteriormente.

La prima ondata di attacchi Gumblar risale allo scorso marzo, e sulle prime sembrava che il fenomeno potesse essere arrestato. Il virus era stato esaustivamente descritto sui siti di settore, e gli stessi responsabili security di Google avevano provveduto a escludere dai propri database i siti infetti. Ma tanto ottimismo era mal riposto. Nelle scorse settimane, spiega uno dei blog di ScanSafe, il malware in questione ha subito un nuovo morphing, in virtù del quale il codice maligno non viene più ripreso dal dominio gumblar.cn ma da un altro, martuz.cn. Ed è così che il virus ha ripreso a diffondersi.

Giovanni Arata
7 Commenti alla Notizia Gumblar confonde Google
Ordina
  • "The scripts attempt to exploit vulnerabilities in Adobe's Acrobat Reader and Flash Player to deliver code that injects malicious search results when a user searches Google on Internet Explorer, ScanSafe said."

    INTERNET EXPLORER perché non consigliatr la gente di cambiare sistema operativo o perlomeno il browser Sorride
    non+autenticato
  • Ma che c'entra il DNS?
    Questo è un servizio che risolve i NOMI in Indirizzi IP (può esserne scelto uno a piacere, tipo OpenDNS, non necessariamente quello dell'ISP) : non influenza assolutamente l'IP del Client di origine!

    Forse intendevate il PROXY, che invece fà le richieste al posto vostro (anche questo può essere scelto a piacere, non necessariamente quello dell'ISP) : l'host che riceve la richiesta "vede" l'IP del Proxy, non quello del Client di partenza...

    In ogni caso, l'IP del Client di origine è assegnato dall'ISP.


    Saluti, RINGHIO.
    non+autenticato
  • Ci vorrebbe collaborazione tra forze dell'ordine e ISP non per correre dietro agli scariconi, ma molto più semplicemente per bloccare l'accesso alla rete dei computer infetti.
    Visto che i PC sparaspam e spargimalware sono facilmente identificabili a livello di ISP, basterebbe redirigere qualunque loro accesso web verso una pagina di default dove si spiega la situazione, e si intima di liberarsi del malware prima di riavere l'accesso. Uniche eccezioni al blocco, i siti degli antivirus e SW di sicurezza.
    Prevedo grossi problemi per quelle LAN che si ritroverebbero tagliate fuori in blocco per un solo PC infetto, ma ciò obbligherebbe i loro gestori a fare più attenzione.
    Unica criticità: il garantire il riaccesso immediato a chi dimostra di essersi "ripulito".
    -----------------------------------------------------------
    Modificato dall' autore il 22 maggio 2009 09.08
    -----------------------------------------------------------
    Funz
    13021
  • si... e io sono superman!!!
    non+autenticato
  • Se uno usa un DNS diverso da quello del proprio ISP ?
    Sgabbio
    26177
  • Ma chi ci' trasi???

    L'indirizzo Ip della Macchina dove e' Hostato quello e'...

    Il problema e' che la gente Naviga in rete...
    come Amministratore.

    Si e' vero, come Utente, esistono escamotage...ma almeno ci vuole piu' tempo, e magari Si Accorge che c'e' qualcosa che non va...prima di riavviare il Pc!!!

    Ps: Il DNS, serve se uno volesse uscire Fuori...dal recinto dell'ISP...non vedo che centra con l'Identificare il sito...e bloccarlo...
    certo new sito, new Ip...ma prima o poi lo beccano...
    non+autenticato
  • cercando
    martuz.cn su freedns si trova cio':

    Domain Name: martuz.cn
    ROID: 20090513s10001s44729746-cn
    Domain Status: ok
    Registrant Organization: Chen
    Registrant Name: Chen
    Administrative Email: ****************@yahoo.com
    Sponsoring Registrar: 北京
    新网数码
    信息技术有
    限公司
    Name Server:ns1.everydns.net
    Name Server:ns2.everydns.net
    Name Server:ns3.everydns.net
    Name Server:ns4.everydns.net
    Registration Date: 2009-05-13 01:40
    Expiration Date: 2010-05-13 01:40


    Si continua cercando i vari dns...

    su http://www.internic.net

    e si trova che...

    Server Name: NS1.EVERYDNS.NET
       IP Address: 208.76.56.56
       Registrar: MONIKER ONLINE SERVICES, INC.
       Whois Server: whois.moniker.com
       Referral URL: http://www.moniker.com/whois.html

    >>> Last update of whois database: Fri, 22 May 2009 16:03:23 UTC <<<

    etc, etc ,etc,....
    non+autenticato