Italia Sotto Attacco: La Gang Di Mpack Colpisce Ancora.

Posted on giugno 16, 2007. Filed under: News |

Dopo le intrusioni avvenute nei sistemi Hosting Solutions che avevano permesso a degli attacker di modificare le home page di svariati siti web includendo un IFRAME che permettesse il redirect degli utenti verso siti web contenenti malware, ora è stato preso di mira un altro grande hoster italiano: Aruba.
Gli autori di questi attacchi sembra utilizzino, come comunicato da Symantec (che sta indagando anch’essa ora sul caso) un kit già pronto per sferrare attacchi di malware denominato MPack e venduto in Russia.

Sono riusciti a compromettere la homepage di un centinaio di siti, infettandoli con un IFRAME malevolo catalogato come Trojan.Mpkit!html.
L’elenco di luoghi compromessi è enorme, le statistiche confermano che l’attacco di Mpack sta funzionando efficientemente.

questi alcuni dei siti infettati:

 hxxp://www.asa[REMOVED].it (IT company)
 hxxp://www.easyca[REMOVED].it (car rental)
 hxxp://www.cafit[REMOVED].org (tax service)
 hxxp://www.ladolcevi[REMOVED].com (apartments/hotels)
 hxxp://www.cislanc[REMOVED].it (trade unions of a city)
 hxxp://www.offertav[REMOVED].com (travels in Italy)
 hxxp://www.hotelce[REMOVED].it (hotel)
 hxxp://www.vnemba[REMOVED].it/ (some embassy?!?)
 hxxp://www.comunedica[REMOVED].it (city council)
 hxxp://www.saccoeuro[REMOVED].it (popular IT store)
 hxxp://www.comune.bisi[REMOVED].it (city council)
 hxxp://www.step[REMOVED].it (IT company)
 …and many many others!

Si consiglia a tutti gli utenti di aggiornare i loro programmi antivirus ed installare sulle loro macchine tutti gli aggiornamenti Microsoft.
Mpack infatti sfrutta anche le vulnerabilità per altri componenti di browser come QuickTime e WinZip.

Questo è un breve filmato che mostra cosa accade navigando su una pagina infetta.

Grazie a Marco Giuliani

Maggiori informazioni su Mpack: il malware-commerciale

Potrebbe considerarsi un comune software commerciale se solo non servisse a fare macelli. Stiamo parlando di Mpack, ovvero un programma che consente l’esecuzione di malware da remoto.

Esso offre ai suoi clienti anche degli aggiornamenti: strumenti per bypassare le vulnerabilità nei software e negli OS.

Come ogni software che si rispetti, anche Mpack possiede una nuova versione che esce ogni mese: il costo va dai 50 dollari ai 150 dollari. Inoltre, se si pagano 300 euro in più si riceverà anche DreamDownloader, un’altra applicazione progettata per trovare in rete dei Trojan downloader.

Esso funziona in questo modo: il cracker indica a DreamDownloader l’indirizzo dal quale scaricare dei file (Trojan, virus, ecc.) e il software creerà automaticamente un file .exe per scaricare nuovo materiale dannoso per il PC.

Per essere certi che gli utenti eseguano il codice dannoso, i cyber criminali utilizzano vari metodi di attacco. Nel caso dei Web Server viene aggiunto un collegamento iframe alla fine del file che carica autonomamente e indica la pagina Web dove è contenuto il malware.

Un altro metodo consiste nell’inserimento di Keyword, molto ricercate sui motori di ricerca, nelle pagine Web dove è contenuto il malware. In questo modo, quando gli utenti visiteranno una pagina contenente il malware, saranno subito attaccati. L’ultimo metodo è quello di inviare numerose email contenenti link malevoli, con l’ausilio di tecniche di ingegneria sociale per l’esecuzione del virus.

Panda Software ha rilasciato un documento PDF, in cui trovare approfondimenti su Mpack.

Fonte.

Make a Comment

Lascia un commento

Effettua il login con uno di questi metodi per inviare il tuo commento:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

Liked it here?
Why not try sites on the blogroll...

%d blogger cliccano Mi Piace per questo: