MBR Rootkit da Siti Compromessi

Posted on aprile 4, 2008. Filed under: News |

Tramite il blog ufficiale del suo team Security Response, Symantec ha segnalato di star monitorando un numero sempre maggiore di siti Web ad alto traffico che stanno venendo compromessi e sfruttati dai cybercriminali per diffondere codice nocivo; Dopo la segnalazione della compromissione del sito ufficiale del gruppo Tata, una delle aziende più importanti in India, proprietaria di Tata Motors, Symantec segnala un simile attacco (via script offuscato ed integrato) contro il sito italiano http://www.emule-italia.it, un sito guida al celebre software di scambio file. Questo tipo di attacchi sta diventando sempre più popolare tra i cybercriminali, come evidenziato in varie news precedenti.

Andrea Del Miglio, Practice Manager per gli Operational Services di Symantec, scrive sul Security Response Weblog dell’azienda: “Lo script, quando de-offuscato, mostrava un iframe che puntava a http://%5BRIMOSSO%5Dxes.com/ld/grb, che reindirizzava gli utenti ad un server (http://%5BRRIMOSSO%5Dfir.com/cgi-bin/mail.cgi?p=grobin) che ospita lo strumento Neosploit. Neosploit forza i PC vulnerabili a scaricare ed installare l’ultima versione del famigerato Trojan.Mebroot [codice rootkit MBR, ultimamente balzato all’attenzione dei media]. Symantec ha segnalato la problematica all’ISP coinvolto [Aruba] e l’ISP ha lavorato da quel momento per rimuovere il contenuto nocivo dal sito web affetto. I siti web ad alto traffico stanno diventando sempre più un bersaglio, perché il grande numero di visite che ricevono si traduce in una grande numero di macchine compromesse in un breve periodo di tempo. Per questo motivo, la sicurezza delle applicazioni è ancor più importante per questi siti: penetration testing periodico, verifica del codice, e pratiche ‘sonda’ di sicurezza per le applicazioni (consultate questo whitepaper) nel ciclo di sviluppo globale possono proteggere i gestori dei siti da queste minacce“.

Trojan.Mebroot, conosciuto anche come MBR Rootkit, è un rootkit che infetta il Master Boot Record per nascondersi all’interno di Windows, sfruttando un approccio “nuovo” mai utilizzato prima se non per alcuni “proof of concept”. Come segnalato a fine Marzo, questo codice nocivo è stato aggiornato varie volta dai suoi creatori per potenziare l’efficacia dell’infezione ed evadere il rilevamento da parte dei software di sicurezza. A questo proposito segnaliamo che recentemente due popolari prodotti anti-rootkit, Trend Micro Rootkit Buster e F-Secure Blacklight, hanno integrato capacità di rilevamento per questo codice nocivo nelle loro ultime versioni.

Attualmente il sito Emule-Italia non presenta più lo script nocivo, rapidamente rimosso in modo da scongiurare la diffusione di malware.

Fonte

Make a Comment

Lascia un commento

Effettua il login con uno di questi metodi per inviare il tuo commento:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

Liked it here?
Why not try sites on the blogroll...

%d blogger cliccano Mi Piace per questo: