Tempi frenetici e strani giorni per la sicurezza online: non è passato molto tempo dall’annuncio della scoperta del rootkit invisibile da Master Boot Record , in grado di passare inosservato alla maggioranza dei software di sicurezza e anti-rootkit attuali, che si viene a conoscenza di una nuova minaccia sulla cresta dell’onda , nella fattispecie un trojan-keylogger che si annida furtivamente nei siti web compromessi per attaccare i sistemi degli utenti Windows laddove non adeguatamente protetti.
Il trojan, individuato a dicembre dalla security enterprise Finjan e identificato come ” random js toolkit “, si sarebbe attualmente diffuso in non meno di 10mila server web , incluso uno di quelli appartenenti a un noto provider di banner pubblicitari. Gli autori dell’attacco, sostiene il CTO di Finjan, Yuval Ben-Itzhak, sono una gang che ha in gestione un server spagnolo, su cui vengono dirottate le informazioni rubate agli utenti dal trojan e che la società sta cercando di far chiudere chiedendo collaborazione all’ISP locale.
L’attacco sfrutta sistemi ben noti per iniettare il proprio codice Javascript all’interno dei server web, e di qui attende paziente l’accesso degli utenti dotati di software di navigazione non aggiornato sfruttando, qualora ne individui uno, almeno 13 diverse vulnerabilità del browser per propagare l’infezione .
Una delle caratteristiche salienti del malware – non a caso definito “random” – è la capacità poi di modificare costantemente il codice Javascript iniettato nei server , cosa che diminuisce l’efficacia dell’approccio difensivo dei software antivirus, che ancora oggi basano la propria azione di contrasto al malware soprattutto sull’utilizzo di un database di firme virali in grado di identificare un singolo malware alla volta.
Una volta preso il controllo del pc, il trojan comincia a fare scorta di dati sensibili, documenti, password e quant’altro possa risultare utile in un’ottica di cybercrime , informazioni che vengono poi diligentemente consegnate al server spagnolo a cui hanno verosimilmente accesso gli autori del malware.
E poi c’è la storia – anch’essa non nuova – del web-server spara-pubblicità: Finjan non fa nomi precisi, ma si limita a riportare che la società colpita fornisce qualcosa come 14 milioni di banner pubblicitari in giro per la rete, ognuno dei quali è stato trasformato in un potenziale vettore dell’infezione.
Come difendersi da una simile minaccia? Finjan si fa ovviamente pubblicità, consigliando l’installazione del plug-in per il browser SecureBrowser , in grado di analizzare “al volo” il contenuto di un link prima della sua apertura alla caccia di codice potenzialmente nocivo. E per le aziende sono ovviamente disponibili soluzioni di sicurezza all-inclusive , integranti tra l’altro il premiato engine antivirale della società moscovita Kaspersky .
Alfonso Maruccia
Ti potrebbe interessare
16 gen 2008