martedì 21 agosto 2012

AVG, siti compromessi presentano annunci di Facebook e scaricano virus


All'inizio di questa settimana molte persone hanno cominciato a notare una massiccia ondata di rilevamenti di Blackhole Exploit Kit segnalati da molti degli utenti del noto software antivirus AVG. I rilevamenti riportati sono stati pari a 1,6 milioni in circa 12 ore. Alcuni clienti hanno comunicato alla società di sicurezza AVG che LinkScanner, il noto programma di rilevamento siti malware, aveva segnalato anche Facebook come sito malevolo. Tuttavia, i reali rilevamenti del Blackhole Exploit Kit type 2314 erano il risultato di annunci dannosi passati insieme da un servizio di pubblicità che apparivano sulle pagine di Facebook e quelli di altri siti web.

A complicare ulteriormente la situazione, gli operatori non autorizzati che stavano usando gli annunci avevano progettato alcuni dei loro annunci con caratteristiche grafiche, colori e caratteri tipografici che imitavano il look di Facebook. Gli esperti di AVG hanno ricevuto le relazioni di rilevazione attraverso il "rapporto" opt-in, della funzione automatica di AVG che riporta le rilevazioni di diversi milioni di utenti della società. Così, circa l'uno per cento degli utenti di AVG sono stati bloccati da contenuti potenzialmente dannosi grazie a LinkScanner. Questi sono stati circa 1,3 milioni di rilevamenti nelle prime 6 o 7 ore.


L'ad server che fornisce gli annunci a quanto pare era stato compromesso da un hacker che ha installato il malware del Blackhole Exploit Kit. Il codice JavaScript maligno viene iniettato nelle pagine servite dal server Web compromesso. In genere, il JavaScript associato al Blackhole afferra altri script dannosi da un altro server al fine di compromettere la sicurezza degli utenti che visitano il sito web - un tipico attacco malware drive-by. In questo caso, il server Web compromesso era in qualità di ad-server, condizionando il contenuto dei messaggi pubblicitari sui vari siti web, così da servire delle pagine fuori ox-d.served-now.com e negli spazi pubblicitari delle pagine di altri siti web.


Dopo la compromissione dell'ad-server, le pagine pubblicitarie servite contenevano gli annunci previsti più lo script exploit Blackhole. Nell'immagine qui sopra, AVG ha evidenziato in blu il codice sorgente HTML del messaggio pubblicitario previsto che è l'originale, mentre il testo non evidenziato è lo script Blackhole. Una volta decifrato, gli esperti di AVG hanno illustrato ciò che lo script è destinato a fare. "Dopo aver testato le diverse funzioni e le versioni del browser Web del visitatore, l'intenzione principale di questo script è quella di iniettare un Iframe nella pagina Web corrente", spiega TomK, ingegnere software di AVG.

Questo è un pò contorto, ma significa che il contenuto di una pagina Web col banner.blawg.ch verrà inserita in una pagina, tramite gli annunci del bue-d.served-now.com. Si noti che non è necessario fare clic su un annuncio, o interagire con esso in alcun modo, da qui in poi la funzionalità descritta si verificherà in modo del tutto involontario. La semplice visita una pagina in cui vengono visualizzati tali annunci è sufficiente per attivare  il codice dannoso che potrebbe portare a frodi con carta di credito, il furto di identità e vari pezzi di software cattivo potrà essere installato sul computer di un utente Web.


Senza entrare troppo nei dettagli, questa pagina richiede una applet Java che è dipendente dalla versione del browser (in base al PluginDetect che viene usato per determinare le caratteristiche del browser) e sfrutta una vulnerabilità di Java adatta nella versione installata del browser per scaricare ed eseguire diversi programmi eseguibili di Windows. Gli URL da cui vengono prelevati questi programmi vengono decodificati dall'applet Java da un parametro passato, come evidenziato nell'immagine qui sopra. Quindi, l'inserimento dello script iniziale negli annunci del server degli ad banner alla fine ha portato ad un attacco malware drive-by tramite uno dei numerosi exploit Java.


Il malware binario include bot e backdoor, e qualcosa per fare ancora più soldi, come un falso AV chiamato Security Shield. Il falso software antivirus segnala delle potenziali minacce che avrebbero infettato il sistema dell'utente vittima. In realtà si tratta di falsi rilevamenti che inducono l'utente ad installare il programma. Il rogue antivirus alcuni casi blocca prende letteralmente in ostaggio il PC, bloccando di fatto ogni possibilità di azione da parte dell'utente. Qui di seguito le schermate di alcuni degli annunci che gli utenti potrebbero aver visto nelle pagine Web legittime che erano state manomesse, come descritto in precedenza. Esse sono nel contesto di una pagina Web, dove sarebbero state integrate con gli altri elementi della pagina.


L'AVG Web Threats Research team ha studiato un incidente simile nel mese di luglio in cui LinkScanner aveva rilevato un numero enorme di annunci dannosi su YouTube. Per migliorare la protezione di un motore di ricerca consigliamo l'installazione gratuita di LinkScanner. Dopo l'installazione, è sufficiente eseguire una ricerca nella casella di ricerca di uno dei browser disponibili. I risultati della ricerca includono chiare valutazioni relative alla protezione di ogni collegamento. Per coloro invece che sono stati colpiti dal malware ed in generale da virus, trojan o rootkit, è possibile utilizzare il software gratuito Windows Defender Offline messo a disposizione da Microsoft.

Il programma consente di rimuovere questi programmi dannosi e difficili da individuare, grazie all'utilizzo di definizioni in grado di riconoscere le minacce. Esso viene lanciato all'avvio del computer ed agisce contro il malware prima che il sistema operativo venga caricato e, quindi, prima che l'infezione possa produrre effetti. Windows Defender Offline funziona su Windows XP, Windows Vista, Windows 7, Windows Developer Preview e Windows 8 Consumer Preview. L'applicazione è disponibile sia per sistemi a 32 bit che a 64 bit. Se il computer non è nuovissimo e non permette l'avvio dalla pendrive, allora sarà indispensabile l'installazione su CD o DVD.

1 commento: