lunedì 9 maggio 2011

Un nuovo malware attacca le pagine Web attraverso Internet Explorer


I ricercatori di AVG Virus Lab, il popolare software antivirus, hanno individuato un nuovo attacco che a prima vista potrebbe sembrare venga eseguito attraverso la tecnica dell'Arp Spoofing alle reti LAN. Noto anche come avvelenamento ARP routing o ARP cache poisoning, si tratta d'un metodo per concretizzare un attacco di tipo man in the middle verso tutte le macchine di una stessa rete, aggiornando il computer di destinazione. Proprio per la similitudine con questo tipo di aggressione, di solito, se troviamo un sito web violato, dove un strano blocco di contenuti è stato iniettato nelle sue pagine, il primo  pensiero dovrebbe essere quello che il sito web è stato modificato, o vi è un attacco ARP LAN in esecuzione.


Ma recentemente, AVG ha indiviuato un malware che usa un altro modo per iniettare pagine web. Ecco una pagina comune di Google.com prima dell'esecuzione del malware:


Dopo l'esecuzione del malware, la pagina è simile a questa:


Sembra un fotogramma che viene inserito al di sopra della normale pagina di Google. Ma se proviamo a dare un'occhiata all'origine di esso, non trovatiamo nulla. D'altra parte, siamo sicuri che Google.com non è stato violato. E prima dell'esecuzione del malware, Google.com appariva normale, quindi sappiamo per certo che non è il problema derivato da attacco LAN ARP. Come è potuto succedere dunque? Gli esperti di AVG hanno trovato un malware che approfitta di un oggetto Internet Explorer, che controlla un'istanza di Windows Internet Explorer attraverso l'automazione (da MSDN). Questo malware è scritto in Visual Basic. Il codice che segue mostra come creare un oggetto Internet Explorer in VB:

Dim IE As SHDocVw.InternetExplorer

Set IE = CreateObject("InternetExplorer.Application")

Questo malware ottiene gli oggetti IE in esecuzione enumerando tutti gli ShellWindow e verifica se la proprietà FullName è Iexplorer.exe. Dopo di che, il malware esegue gli insiemi di eventi per avviare la propria funzione, come BeforeNavigate, OnVisible, ecc. Così ora, se tutti tali eventi sono in esecuzione su IE, verrà chiamata la funzione del malware. La funzionalità principale della funzione dell'evento modificata è quella di verificare l'URL e inserire i codici maligni. In primo luogo, verificare se l'URL IE corrente è l'URL del link "maligno" o "about: blank".

In secondo luogo, sarà oggetto di controllo il ReadyState di Internet Explorer per verificare se la pagina viene caricata. In terzo luogo, si otterrà l'oggetto documento (DOM - Document Object Model) di proprietà in Internet Explorer e verranno inseriti iframe maligni di fronte alla pagina normale. Dato che il codice maligno è inserito in modo dinamico da DOM, gli ingegneri di AVG non sono riusciti a rilevare il codice sorgente della pagina. E proprio perché l'URL maligno non poteva essere accessibile, la pagina di Google ha iniettato 'Pagina non trovata'.

Verifica URL:


Verifica ReadyState:


Utilizzo DOM per l'inserimento del codice maligno:


Il tasso di rilevazione antivirus è molto basso al momento. AVG rileva il malware citato come il cavallo di Troia VB.AMTX. Anche se non vi è una grande diffusione dell'attacco, consigliamo agli utenti di non usare il browser Microsoft in quanto potrebbe mettere a rischio la sicurezza del PC. Anche se l'ultima versione di Internet Explorer è più sicura di tutte le versioni precedenti del browser di Redmond, questo non vuol dire che è più sicuro anche dei suoi diretti rivali. Ricordiamo che Internet Explorer 9 funziona solo su Windows 7 e Vista. Naturalmente non ne esiste una versione per Mac OS X o Linux, ma nemmeno gli utenti di Windows XP possono installarlo anche se, secondo i dati di NetMarketShare, è ancora il sistema operativo Microsoft più utilizzato: sono infatti ancora il 55% degli utenti ad averlo installato sulle proprie macchine, contro il 23% di Windows 7 e l’11% di Vista.

Nessun commento:

Posta un commento