- Booking Blog™ – Il blog del Web Marketing Turistico - https://www.bookingblog.com -

The Italian Job, attacco hacker ai siti turistici minori. A rischio i dati degli utenti.

Italian Job malwareDa sabato mattina (il 16 giugno 2007), Trend Micro [2], azienda giapponese che si occupa della sicurezza sulla Rete, sta ricevendo molti rapporti su circa 1.170 siti Web italiani, in grande maggioranza siti turistici minori, che, per una falla nella protezione, sono stati hackerati e hanno installato nell'host un IFRAME malevolo.

L'utente visita il sito -che ritiene sicuro e che non mostra nessun cambiamento visibile- e, se non ha l'anti-virus e il browser aggiornato alle ultime patch di protezione, scarica automaticamente sul proprio computer un malware che permette a terzi di monitorare tutte le operazioni che si svolgono sul computer, quindi di sottrarre i dati personali, compreso il numero della Carta di Credito.


Italian JobDettagli tecnici – Una volta che l'utente visita il sito web che contiene l'IFRAME, il computer è diretto ad un altro indirizzo di IP che contiene il JavaScript malevolo scoperto da Trend Micro come JS_DLOADER.NTJ. Il JavaScript effettua un buffer-overflow sul browser dell'utente, e sfruttandone le vulnerabilità scarica il file TROJ_SMALL.HCK.

TROJ_SMALL.HCK, a sua volta, scarica TROJ_AGENT.UHL e TROJ_PAKES.NC. TROJ_AGENT.UHL può comportarsi come un server proxy che permetta a un user remoto di connettersi in modo anonimo via internet al computer infettato. TROJ_PAKES.NC invece viene scaricato nella cartella dei File Temporanei dell'utente, e scarica il keylogger che ruba le informazioni, TSPY_SINOWAL.BJ.

Cosa fare?

Subito soprannominato The Italian Job, “si tratta dell'hackeraggio più pericoloso mai registrato finora”, ha sottolineato David Perry, portavoce della Trend Micro. La cosa che stupisce è la rapidità con cui la minaccia si è diffusa, quasi contemporaneamente. L' IFrame si “annida” in siti perfettamente legali, perlopiù siti turistici e di hotel con falle nella protezione, e l'unica possibilità di evitare il contagio è di essere dotati di un browser aggiornato.

Per contrastare l'attacco si deve aggiornare la versione di Explorer andando sul sito http://www.microsoft.com/ [3].

Il diagramma dell'attacco è tratto dal Blog di Trend Micro [2], dove potete trovare maggiori informazioni (in inglese)