mercoledì 15 dicembre 2010

Pericoloso malware si annidava nei banner pubblicitari di Microsoft e Google



Banner pubblicitari a rischio malware per le piattaforme di Google e Microsoft. Come riportato sul security blog di Armorize, nei giorni scorsi un attacco esterno ha provocato l’introduzione nei due circuiti pubblicitari di codice maligno che ha causato il download e l’installazione automatica di malware sui computer delle ignare vittime. I banner pubblicitari sulle pagine Web possono essere, a volte, oltre che fastidiosi anche pericolosi per la sicurezza del proprio Pc. Aprendo delle pagine contenenti determinati banner si è data l'esecuzione a del codice JavaScript malevolo. Ad essere coinvolti sono stati diversi siti, che nelle proprie pagine mostravano banner provenienti da DoubleClick e rad.msn.com.

Non è la prima volta che il celebre network di advertising acquistato da Google inietta software malevolo attraverso le pagine web di celebri publisher di contenuti. Tra i siti coinvolti ci sono Scout.com (utilizzando DoubleClick), realestate.msn.com, msnbc.com (utilizzando entrambi), e mail.live.com. La tecnica utilizzata non presenta particolari novità, infatti la visualizzazione di tali pagine ha avuto come conseguenza l’esecuzione di codice JavaScript in grado di sfruttare falle già note e di lavorare in background, al fine di installare malware e backdoor sulle varie macchine.

Tra i vari software installati, quello che ha permesso di individuare il problema è stato HDD Plus, un malware che segnala all’utente un presunto problema al PC in uso e chiede l’acquisto di una licenza di un rogue antivirus per risolverlo. Iniziava così un processo di drive-by download e in caso di successo, HDD Plus e altri malware venivano installati nella macchina vittima. HDD Plus è un falso ottimizzatore per computer e software di deframmentazione del disco rigido. HDD Plus compromette seriamente la stabilità del computer quando ne riesce ad avere accesso. La particolarità di HDD Plus è di potersi infiltrare segretamente, senza che l’utente ne sia a conoscenza.

Questo avviene grazie all’uso di trojan che continuano a bombardare il sistema dall’esterno finché finalmente trovano un accesso, o una backdoor, alla macchina. Il codice JavaScript "maligno" si è scoperto provenire dal dominio AdShufffle.com, che ricorda molto da vicino quello in realtà utilizzato da numerose società per i propri servizi pubblicitari (differisce per una “f” in più) il conosciuto AsShuffle.com, regolarmente coinvolto nella gestione degli annunci delle due piattaforme.



Le infezioni hanno avuto modo di colpire bug e vulnerabilità nella maggior parte dei casi già scoperte dai team di sicurezza delle varie aziende sviluppatrici, per cui i molti utenti che hanno installato le ultime versioni dei software coinvolti e con antivirus aggiornato, hanno potuto visitare in piena tranquillità le pagine contenenti tale codice maligno.

Tra i software coinvolti figurano Adobe Reader, Acrobat e Java Virtual Machine. In particolare, gli exploit utilizzati inizialmente con DoubleClick, sono stati Internet Explorer iepeers (CVE-2.010-0.806) e, successivamente, con DoubleClick e rad.msn.com JDT: Java Web Start riga di comando iniezione arbitraria (CVE-2.010-0.886), Adobe Reader e Adobe Acrobat 9 GetIcon (CVE-2.009-0.927), Microsoft MDAC ActiveX RDS.Dataspace (CVE-2.006-0.003), di Adobe Reader e Acrobat Doc.media.newPlayer 9.x ( ), di Adobe Acrobat e Reader util.printf (CVE-2.008-2.992) e per finire GetMailInfo Adobe Reader (CVE-2007-5659).

I domini associati e gli indirizzi IP rilevati sono stati: adshufffle.com (63.247.64.174) (servizio javascripts che genera iframe che punta a sfruttare i server), acerdse.com, blindry.com, careepi.com, colemuns.com (91.213.217.194) (exploit di portata e malware), ssmmbb.com (91.213.217.193) (che serve jar Java exploit), feudari.com (91.213.217.192) (serve pdf exploit), searchjewel.org (91.200.242.17) (serve malware), 195.5.161.10 (che serve jar Java exploit), thjlnqbtgdw.com e pbcplifpgdw.com (174.132.254.18) (exploit di portata e malware).

Subito allertate, Google e Microsoft hanno immediatamente messo all’opera i propri addetti alla sicurezza per rintracciare l’origine del problema e per trovare una soluzione in tempi brevi. Nel caso del colosso di Google, il portavoce Jay Nancarrow ha sottolineato come i filtri antimalware presenti in DoubleClick siano riusciti da soli ad individuare alcune delle minacce e a porvi rimedio in modo automatico. Entrambe le società hanno comunque chiesto appoggio ad Armorize per delineare in maniera più approfondita il quadro della situazione e trovare una soluzione, che a quanto pare è arrivata, in quanto gli attacchi sembrano essere terminati.

Nessun commento:

Posta un commento