• COMUNICATO IMPORTANTE: ACCOUNT BLOCCATI (16/02/2024) Clicca sul link per leggere il comunicato
  • Non sono ammesse registrazioni con indirizzi email temporanei usa e getta

Italia: Sotto Attacco con MPack

Lo sviluppo in temporeale lo si può trovare su PC AL Sicuro

C'è anche stato un intervento di HostingSolutions ,un altro grosso Hosting che ha subito l'attacco

Non ci risultano problemi ad alcun sito da noi ospitato.

I nostri tecnici sono sempre e comunque in allerta

Luigi Corbacella
HostingSolutions



A detta di alcuni ed ho verificato anche io non è proprio cosi
 
Ho una domanda: mentre navigavo due giorni fa il Norton Antivirus ha bloccato il download del Trojan e dopo qualche secondo è apparso il messaggio che diceva che il Trojan è stato rimosso: il computer è sicuro.
Quindi non dovrei più correre pericoli, vero?
PS: Ho Internet Explorer 6, Win XP
Grazie.:icon_cool:
 
@lorenz

Ormai tutti gli antivirus dovrebbero essere in grado di rilevarlo compreso il Norton :)



*** UPDATE *** (20 Giugno 2007)

Symantec ha rilasciato alcune informazioni su come gli iframe vengano iniettati all’interno dei siti web, cioè attraverso un tool automatico che utilizza username e password dei siti web per accedere e modificare le pagine. Quindi cambiare i dati di accesso, ciò che avevano suggerito Hosting Solutions e ora Aruba agli utenti, sembrerebbe una mossa valida.

La domanda che però sorge è: in che modo gli attacker si sono procurati questa gran quantità di password di accesso? Installando un keylogger su migliaia di pc dei webmaster che gestiscono i siti web? Li hanno beccati quasi tutti che gestiscono siti web su Aruba (e quasi tutti prima che gestivano siti web su Hosting Solutions)? Se anche così fosse, cioè sono riusciti ad avere accesso a così tanti pc direttamente, evidentemente dovrebbero aver utilizzato una tecnica particolarmente efficace per iniettarlo all’interno dei pc delle vittime webmaster. A cosa servirebbe dunque l’utilizzo di MPack se sono riusciti ad attaccare direttamente già così tanti pc con una tecnica così efficace? Per colpire molti altri pc? Potevano utilizzare la stessa tecnica.

Questi webmaster utilizzano forse password deboli, di semplice individuazione? (pcalsicuro: pcalsicuro ad esempio). Potrebbe essere una valida opzione, anche se sinceramente - rimanendo in buona fede - spero impossibile che migliaia di utenti abbiano simili password di accesso.

O sono riusciti in qualche modo ad avere accesso al database degli utenti riuscendo a recuperare le credenziali di accesso? E, se questo è successo, come è successo e quando è successo? Sarebbe interessante verificare se ci sono siti modificati con iframe che sono stati pubblicati di recente, cioè sono clienti da poco tempo. Se ci fosse un denominatore comune si potrebbe anche forse capire quando possa essere avvenuta la probabile intrusione.


PC Al Sicuro dettagli e discussione in tempo reale
 
Le notizie del recente attacco su larga scala condotto tramite l'uso del toolkit malware MPack, che ha colpito migliaia di siti web italiani, hanno fatto in questi giorni il giro della rete. Molte aziende di sicurezza hanno parlato e commentato la vicenda, fornendo numerosi dettagli sul toolkit. Secondo quanto segnalato giorni fa da Joe Wilcox su Microsoft Watch, anche Microsoft sta attualmente investigando sui recenti attacchi e sulle tecniche utilizzate dai cybercriminali per compromettere siti web legittimi e sfruttarli per distribuire codici nocivi attraverso varie vulnerabilità software.


Ulteriori dettagli e aggiornamento
 
ERCOLINO ha scritto:
Aggiornate gli Antivirus.

Trend Micro è in grado di rilevare il virus presente sui siti web infettati.

Info HTML_IFRAME.CU

Info JS_DLOADER.NTJ

Info TROJ_SMALL.HCK

Info TROJ_AGENT.UHL

Sono 4 tipi di Virus


File pattern richiesto 4.539.00,ora siamo al 4.541.00 ;)



HTML_IFRAME.CU [il virus principale delle infezioni dei siti web] è mutato per Trend Micro internet Security (PC-Cillin) serve il Pattern 4.551.00 per poterlo rilevare correttamente


Virus Signature Modified:

HTML_IFRAME.CU
 
Attacco "MPack": Il Video Demo

Symantec ha pubblicato poche ore fa un video sul suo blog ufficiale del Security Response in cui offre una dimostrazione pratica dei rischi a cui vanno incontro gli utenti che malauguratamente si trovano a visitare un sito compromesso nell'ambito del recente attacco su vasta scala che ha colpito migliaia di siti web italiani e di cui abbiamo parlato ampiamente in tre news precedenti. Symantec mostra il funzionamento del codice exploit richiamato dall'IFRAME nocivo iniettato furtivamente nei siti compromessi, mostrando alcuni screenshot di siti compromessi, del codice HTML interessato, e di alcuni tool sfruttati dai cyber criminali per condurre l'attacco. -> MPack The Movie


Dettagli



:5eek: come si vede dal video tra i siti infettati c'è anche il sito web italiano della serie televisiva 24 :eusa_wall:
 
La situazione sembra essersi normalizzata anche se molti siti web sono ancora infetti.

Il server centrale di attacco è comunque bloccato ,quindi rimane solo l'IFrame nel codice HTML ,ma non è più attivo
 
grazie non si capiva se era un mio problema...per fortuna il paradiso e' ok,scusate per l'ot dantesco!!!!
 
Aggiornamento da Pc al sicuro


*** UPDATE *** (25 Giugno 2007)

Come era facilmente prevedibile, ed avevo scritto precedentemente, il server centrale è stato spostato all’IP 64.62.137.149. Bloccare anche questo IP. Prevx 2.0 riconosce il trojan downloader.

Info
 
Come ho appena segnalato su PC Al Sicuro sembrano esserci altre segnalazioni riguardo ad un nuovo Toolkit simile a WebAttacker ed a MPack



We’ve received reports of a web threat toolkit similar to WebAttacker and MPack being hosted at a particular domain. This new toolkit utilizes a variety of exploits to download TROJ_SMALL.FXD into the affected system. We’ve checked several obfuscated PHP files contained within a directory behind this domain and so far, here’s what we have on this new threat:

Dettagli
 
Attacco "MPack" e Trojan.Srizbi

Sul blog ufficiale del Symantec Security Response è stato pubblicato un nuovo commento sul recente attacco che ha colpito numerosi siti italiani, condotto sfruttando la compromissione di pagine web e il toolkit malware MPack, per attaccare il browser di ignari visitatori e distribuire una varietà di codici nocivi. Ricordiamo che in un intervento precedente Symantec aveva pubblicato un video offrendo una dimostrazione pratica dei rischi a cui vanno incontro gli utenti che malauguratamente si trovano a visitare un sito compromesso nell'ambito di questo attacco di cui abbiamo parlato ampiamente in tre news precedenti. Symantec mostra il funzionamento del codice exploit richiamato dall'IFRAME nocivo iniettato furtivamente nei siti compromessi, mostrando alcuni screenshot di siti compromessi, del codice HTML interessato, e di alcuni tool sfruttati dai cyber criminali per condurre l'attacco. -


Dettagli
 
Guerra di malware a colpi di attacchi DDoS

Sono aggressivi ed estremamente efficaci nel riprodursi e nel conquistare, pezzo a pezzo, il territorio virtuale dei PC connessi alla Rete senza firewall personale e un ottimo antivirus come difesa. Per di più, proprio come i "picciotti" della tradizione mafiosa, i malware moderni combattono senza risparmiarsi per la distruzione dell'avversario, nella fattispecie una "famiglia" di schifezza-ware diversa ma altrettanto determinata nel trasformare i terminali di rete in PC zombi ad uso spam/cyberwar.


Dettagli
 
Nel frattempo gli esperti di sicurezza stanno continuando a studiare il caso relativo all'attacco con MPack nel tentativo di capire quale debolezza sia stata sfruttata dai cybercriminali per iniettare il codice IFRAME nei siti. Il SANS Internet Storm Center ha pubblicato un interessante intervento (Mass website hosting = mass defacements) in cui indica problemi di configurazione dei permessi in scrittura di Apache come la "falla" più probabilmente utilizzata. Nello specifico ISC riporta l'analisi di uno script PHP trovato su uno dei server compromessi ed utilizzato per iniettare il codice IFRAME in tutti i siti web ospitati sul web server. Questo script può essere eseguito dopo aver trovato un codice vulnerabile PHP in uno qualsiasi dei siti web ospitati.


Dettagli
 
Indietro
Alto Basso