Server Aruba sotto attacco, allarme in Italia

Pc al Sicuro segnala come vari server Aruba sarebbero stati attaccati e molti siti in hosting sarebbero stati modificati per ospitare un iframe in grado di instillare malware nei visitatori. A rischio soprattutto l'utenza italiana. Symantec conferma
Server Aruba sotto attacco, allarme in Italia
Pc al Sicuro segnala come vari server Aruba sarebbero stati attaccati e molti siti in hosting sarebbero stati modificati per ospitare un iframe in grado di instillare malware nei visitatori. A rischio soprattutto l'utenza italiana. Symantec conferma

I server Aruba sarebbero sotto attacco ed il fine dei malintenzionati sarebbe ancora una volta ben preciso: instillare malware nel sistema dei visitatori così da cercare lucro dalle infezioni scatenate. La segnalazione giunge da Marco Giuliani tramite Pc al Sicuro con tanto di IP da bloccare per evitare possibili problemi: 58.65.239.180, 64.38.33.13, 194.146.207.129 e 194.146.207.18.

I numeri sono di tutta rilevanza e la situazione italiana sarebbe al momento la peggiore: secondo quanto raccolto da uno screenshot di Marco Giuliani, su poco più di 15000 visitatori sui siti compromessi, ben 4200 sono stati colpiti (con una impressionante efficienza del 28%). La statistica è comunque in evoluzione, i numeri salgono e gli utenti italiani sono quelli maggiormente in pericolo. Symantec ha confermato il problema ed ha sottolineato come Mpack sia ancora una volta il kit «pronto all’uso» usato per portare avanti la truffa sui server vulnerabili.

I siti colpiti sono di vario tipo: siti di hotel, siti istituzionali relativi a uffici comunali, distaccamenti locali FIGC, eccetera. Nel codice la presenza di un IFRAME è la conferma fattiva dell’infezione: «una volta che uno degli exploit eseguiti dal kit caricato sul server riesce a funzionare, viene loggato l’IP e la nazione di provenienza, a scopo di statistica e per bloccare ulteriori infezioni a danno dello stesso IP. Dopo ciò, viene scaricato un Trojan.Downloader che si occupa – iniettandosi in svchost.exe – di scaricare ulteriore malware».

Il codice infetto sulle pagine colpite

Il codice infetto sulle pagine colpite

Symantec spiega di essere al lavoro per tentare di limitare il problema sulla rete italiana. L’origine e le modalità dell’attacco non sono ancora chiare, ma la responsabilità viene momentaneamente attribuita a non meglio identificati problemi a livello di configurazione dell’hosting. Vista l’impossibilità di evitare a priori i siti compromessi, per evitare di lasciar campo aperto agli exploit è necessario aggiornare tutti i propri software potenzialmente vulnerabili (Quicktime e Winzip i primi segnalati) ed aggiornare altresì il proprio software antivirus.

Ti consigliamo anche

Link copiato negli appunti