www.MegaLab.it

La tristemente famosa falla dei cursori animati di Windows non può più essere considerata come un exploit zero-day dalla pubblicazione del bollettino di sicurezza Microsoft di aprile, ma ciononostante continua a far parlare di se e ad essere al centro della scena. Ultimo in ordine di tempo il caso segnalato in questo giorni sul weblog dell'esperto di sicurezza Marco Giuliani, che parla di un popolare sito web italiano reso vettore di malware proprio sfruttando la suddetta vulnerabilità.

Vittima dell'attacco il sito ufficiale del cantautore Roberto Vecchioni, nel cui codice i cracker erano riusciti a camuffare un listato in Javascript che, una volta in esecuzione, si connetteva ad un server russo. Il server corrispondeva al sito dramcnt.com, indirizzo IP 194.146.207.23 fornito dal provider Nevacon Ltd.

Il sito esca serviva appunto a caricare una pagina web progettata per sfruttare la falla dei file .ani, attraverso la quale veniva depositato sul PC colpito un trojan dalle dimensioni di 29.112 byte. Una volta entrato in funzione, il suddetto trojan scaricava infine una componente keylogger per la registrazione dei tasti digitati dall'utente, alla presumibile ricerca di informazioni sensibili quali password e numeri di carte di credito.

Il keylogger è stato individuato fisicamente sul sistema sotto forma dei due file ibm00001.dll e ibm00002.dll, entrambe presenti nella cartella C:ProgrammiFile ComuniMicrosoft SharedWeb Folders. Stando ad ogni modo a quanto dice Giuliani, il webmaster ha risolto il problema questo 25 aprile, e il sito è tornato ad essere un innocuo portale di un cantautore piuttosto che una pericolosa porta nascosta attraverso la quale far passare codice malevolo.

Non è comunque la prima volta che capita una cosa del genere: sempre a proposito della vulnerabilità nei file .ani, agli inizi di aprile persino il portale di un grosso marchio come Asus è risultato infettato da script ostili. Il fatto che la falla sia stata chiusa da Microsoft mitiga di certo il rischio, ma non lo esclude completamente: non è detto che tutti gli utenti di sistemi Windows abbiano scaricato l'apposita patch tramite Windows Update, ed è noto come anche browser alternativi quali Firefox non risultino immuni dal problema in un sistema non adeguatamente protetto.

UPDATE: alla fine della stesura della news mi sono accorto come in effetti l'attacco sia ancora in corso: l'accesso alla pagina incriminata con l'engine di Internet Explorer 6 ha fatto letteralmente impazzire antivirus e sistema di difesa proattiva installati sul mio sistema. Si raccomanda quindi ancora la massima prudenza ai navigatori del bel paese, e soprattutto l'utilizzo di browser evoluti in grado di depotenziare la minaccia.