Attacco Web che avvelena i risultati di Google diventa peggiore

Un nuovo attacco che diffonde rapidamente i risultati di ricerca di Google con link malevoli si sta diffondendo rapidamente, ha avvisato il team US Computer Emergence Response lunedì.

L'attacco, che si è intensificato nei giorni scorsi, può essere trovato su migliaia di siti Web legittimi, secondo agli esperti di sicurezza. Si rivolge a problemi noti del software Adobe e li utilizza per installare un programma dannoso sulle macchine delle vittime, ha detto CERT.

Il programma ruba quindi le credenziali di accesso FTP alle vittime e utilizza tali informazioni per diffondersi ulteriormente. Inoltre dirotta il browser della vittima, sostituendo i risultati di ricerca di Google con link scelti dagli aggressori.

[Ulteriori letture: Come rimuovere malware dal PC Windows]

Gli esperti di sicurezza hanno iniziato a monitorare l'attacco a marzo, quando aveva infettato diverse centinaia di siti Web, ma nelle ultime settimane il numero di siti infetti è aumentato drasticamente. L'attacco è stato chiamato Gumblar perché a un certo punto utilizzava il dominio Gumblar.cn, anche se il lunedì era passato a uno diverso.

Il fornitore di sicurezza ScanSafe ha contato più di 3.000 siti Web infetti, a partire da circa 800 poco più di una settimana fa.

Quel tipo di crescita continua è insolito, secondo Mary Landesman, un ricercatore senior della sicurezza con ScanSafe. Gli hacker hanno lanciato numerosi attacchi Web diffusi negli ultimi anni, ma dopo pochi mesi il numero totale di siti infetti generalmente diminuisce man mano che i webmaster puliscono i loro server.

Con Gumblar, sempre più siti vengono infettati. Landesman crede che sia perché i creatori di Gumblar sono stati bravi a offuscare il loro codice di attacco e rendendo più difficile individuare i siti infetti. E poiché hanno rubato credenziali di accesso FTP, sono stati in grado di utilizzare alcuni nuovi trucchi per ottenere il loro software sui siti. "Stanno facendo cose come cambiare i permessi delle cartelle … e lasciare dietro di sé diversi modi in cui possono tornare sul server", ha detto.

Tuttavia, gli attacchi Web sono diventati così diffusi che Gumblar rimane un fenomeno relativamente piccolo, secondo il Product Manager di Symantec Security Response John Harrison. L'anno scorso, Symantec ha contato 18 milioni di attacchi online contro i propri clienti. Con Gumblar, ha contato 10.000. "È davvero solo un altro giorno con download drive-by", ha detto. "Ce ne sono davvero tanti".

Gli esperti di sicurezza dicono che se si utilizza un sistema completamente aggiornato con software di sicurezza aggiornato, si dovrebbe essere protetti da questi attacchi. Fino ad oggi, hanno funzionato colpendo la vittima con file PDF o Flash dannosi.