Il dominio di Gumblar Malware è attivo di nuovo

I ricercatori di ScanSafe stanno vedendo rinnovati attività su Gumblar, un malware multifunzionale che si diffonde attaccando i PC che visitano pagine Web compromesse.

Gumblar può rubare credenziali FTP e dirottare le ricerche su Google, sostituendo i risultati su computer infetti con collegamenti ad altri siti dannosi.

Quando il malware Gumblar è stato trovato a marzo, cercava istruzioni su un server su gumblar.cn. Quel dominio è stato messo offline al momento, ma è stato riattivato nelle ultime 24 ore, ha scritto Mary Landesman, un ricercatore senior della sicurezza con ScanSafe, su un blog aziendale.

[Ulteriori letture: Come rimuovere malware dal tuo PC Windows]

I siti Web infettati da Gumblar contengono un iframe, che è un modo per trasferire contenuti da un sito Web a un altro. Gli autori di malware di solito rendono invisibili quegli iframe. Quando una vittima visita il sito, l'iframe avvierà una serie di exploit ospitati su un computer remoto per tentare di hackerare il computer in visita.

Gumblar verifica se il PC della vittima sta eseguendo versioni non formattate di Reader e Acrobat di Adobe Systems programmi. In tal caso, la macchina verrà compromessa da un cosiddetto download drive-by.

I registrar dei nomi di dominio sospenderanno spesso nomi di dominio che sono stati utilizzati per scopi dannosi e gli autori di malware di solito modificano frequentemente i domini a cui il software guarda per istruzioni in quanto tali domini errati sono nella lista nera. Per qualche ragione, il dominio gumblar.cn è stato rilasciato ed è di nuovo in uso.

Landesman ha scritto che i siti Web ancora infetti da Gumblar potrebbero ora essere in grado di richiamare il dominio appena attivato. Permetterebbe a quei PC infetti di essere aggiornati con nuovi malware.

"È un disastro", ha scritto Landesman. "Resta sintonizzato".