“Uno dei più imponenti attacchi di questo tipo registrati fino ad oggi”. Così McAfee ha descritto l’operazione con cui ignoti cracker sono riusciti, nel giro di poche ore, ad infettare oltre 10mila pagine web con uno script maligno . Tale script è in grado di redirigere gli ignari navigatori verso un server cinese contenente malware che, tra le altre cose, può sottrarre le password utilizzate in alcuni tra i più famosi giochi online.
“Le pagine Web sono state modificate con un codice che reindirizza in automatico i visitatori a un altro sito web contenente un cocktail di malware che tenta di entrare nel PC dell’utente. I redirect e i tentativi di violazione del PC avvengono senza che il navigatore possa rendersene conto”, ha spiegato la celebre società di sicurezza. “Le pagine Web manomesse includono siti comuni, come quelli di viaggi, istituzionali o dedicati al tempo libero. A seguito di questo attacco è importante richiamare l’attenzione di tutti sul fatto che persino i siti web affidabili possono risultare poco sicuri e celare malware”.
McAfee afferma di aver accertato la presenza dello script maligno su circa 10mila pagine, ma il numero effettivo potrebbe essere più elevato. Per riuscire a infettare così tanti siti in così poco tempo, gli esperti ipotizzano che i cracker (ma diventa plausibile pensare anche ad un solo cracker) si siano avvalsi di tool automatici , eventualmente in grado di sfruttare uno o più motori di ricerca del web, con lo scopo di individuare i server vulnerabili all’attacco.
Il malware contenuto sui server controllati dagli aggressori tenta di forzare la sicurezza dei PC Windows facendo leva su una serie di vulnerabilità contenute nei controlli ActiveX di certe applicazioni (come RealPlayer) e giochi online: sebbene si tratti di falle già corrette, queste si trovano in componenti che gli utenti aggiornano di rado o non aggiornano affatto.
Se il codice virale riesce a superare le difese di un PC, il suo primo scopo è quello di rubare le password di una grande quantità di giochi web-based , tra cui il celebre Lord of the Rings Online . Impadronirsi di tali account è un’attività potenzialmente lucrosa : un numero crescente di giochi online permette ai suoi iscritti di commerciare oggetti o personaggi e di guadagnare soldi reali dalle transazioni.
McAfee ha riscontrato per la prima volta questo attacco nella mattinata di mercoledì 12 marzo. Ad oggi, la società afferma che la stragrande maggioranza dei siti infetti “è già stata ripulita e ripristinata”.
Altri dettagli dell’attacco sono stati pubblicati in questo post di McAfee Avert Labs.