Symantec segnala sul blog del suo Security Response di aver verificato un attacco web su larga scala che sta attualmente colpendo numerosi siti web italiani. L'attacco è simile, almeno negli effetti e forse nelle modalità di exploit, ad altri attacchi precedentemente segnalati sia su siti italiani (per esempio il caso della compromissione del sito del cantautore italiano Vecchioni, seguita da vicino da Marco Giuliani sul PC al Sicuro, e di un altro importante sito italiano, come segnalato giorni fa da Sophos) sia su siti esteri come riportato da Symantec a fine Maggio.
A quanto pare il nuovo attacco sfrutta un nuovo dominio finale ma esegue ugualmente i codici exploit del kit Mpack 0.86, un sistema di distribuzione malware simile al più famoso WebAttacker. Questo kit consiste in una collezione di componenti software PHP programmati accuratamente e progettati per essere hostati ed eseguiti su un server PHP con database lato backend. MPack, evidenzia Symantec, viene venduto da una gang russa già pronto per essere installato su un server e corredato di moduli exploit da usare "out of the box". Una volta istallato e attivato il server, i cybercriminali non devono far altro che iniziare a generare traffico web browser verso di esso. Come: eseguendo l'hacking di siti web popolari ed aggiungendo alle pagine web porzioni di codice IFRAME; attivando siti web di typo-squatting su domini popolari; eseguendo lo spamming di messaggi di posta con codice IFRAME integrato.
Dettagli
Pericolo Elevatissimo
Ne Parla Marco Giuliani su PC Al Sicuro dove ho fatto un paio di interventi
Dettagli
I siti compromessi sono soprattuto quelli sui server di ARUBA
A quanto pare il nuovo attacco sfrutta un nuovo dominio finale ma esegue ugualmente i codici exploit del kit Mpack 0.86, un sistema di distribuzione malware simile al più famoso WebAttacker. Questo kit consiste in una collezione di componenti software PHP programmati accuratamente e progettati per essere hostati ed eseguiti su un server PHP con database lato backend. MPack, evidenzia Symantec, viene venduto da una gang russa già pronto per essere installato su un server e corredato di moduli exploit da usare "out of the box". Una volta istallato e attivato il server, i cybercriminali non devono far altro che iniziare a generare traffico web browser verso di esso. Come: eseguendo l'hacking di siti web popolari ed aggiungendo alle pagine web porzioni di codice IFRAME; attivando siti web di typo-squatting su domini popolari; eseguendo lo spamming di messaggi di posta con codice IFRAME integrato.
Dettagli
Pericolo Elevatissimo
Ne Parla Marco Giuliani su PC Al Sicuro dove ho fatto un paio di interventi
Dettagli
I siti compromessi sono soprattuto quelli sui server di ARUBA