Un weekend dedicato alla lotta contro il malware per il nostro staff. Stiamo analizzando un caso di iniezione iframe che ha colpito numerose installazioni dei noti CMS Joomla e CMSimple. Nello specifico si tratta di un nuovo cliente che ha sperimentato numerosi problemi di infezioni malware su un server dedicato che contiene numerosi siti web. L’approdo su servermanaged.it ha convinto il cliente a scegliere la nostra assistenza per risolvere in modo definitivo le problematiche che stanno letteralmente mettendo in ginocchio il suo parco clienti. Che cosa sono le iniezioni iframe? A causa di vulnerabilità presenti nei siti web basati su CMS dinamici un attaccante può alterare arbitrariamente alcune porzioni di codice del sito iniettando un blocco di codice maligno. Solitamente la scelta del codice da iniettare ricade sugli iframe di tipo inline inseriti con attributo display:none che li rende praticamente invisibili al normale visitatore. La riga di codice verrà però indicizzata dai motori di ricerca trascinando il sito web infetto nel girone dei “cattivi”. Una grande percentuale di iframe iniettati ha come scopo quello di distribuire malware infettando i pc dei malcapitati visitatori. Il caso analizzato presenta numerosi siti web infetti con alcuni iframe linkati a domini che sono noti per essere dei distributori di malware :
Sconsigliamo vivamente ai nostri lettori di visitare uno dei domini elencati sopra. Per scoprire quali effetti potrebbero avere sul vostro pc continuate con la lettura del post.
Come abbiamo accennato sopra la presenza dell’attributo display:none rende praticamente invisibili i link agli occhi di un normale visitatore. L’effetto principale delle iniezioni iframe maligne è quello di aprire automaticamente delle finestre all’interno del browser del malcapitato. L’esempio esaminato provoca l’apertura di una allerta che mette in guardia il visitatore circa la presenza di fantomatiche minacce presenti sul proprio pc invitando l’utente al download di un antivirus che nella totalità dei casi è un falso :
I file distribuiti dai siti web maligni contengono payload distruttivi che possono attecchire sul sistema colpito allo scopo di renderlo spesso parte di una botnet.
Come è facilmente intuibile i cybercriminali attuano delle strategie di grande portata e non utilizzano canali facilmente tracciabili nè tantomeno procedure standardizzate. Le iniezioni iframe di massa come quella analizzata fanno spesso parte di un piano ben più vasto che mira ad infettare migliaia di siti web per poi attuare una massiccia distribuzione di payload nocivi presso gli utenti finali.
Le iniezioni iframe sono una delle piaghe più attuali. Si tratta di una minaccia che può essere comunque contrastata con una buona policy di update dei CMS presenti sul webserver. Le vulnerabilità dei CMS dinamici costituiscono la principale porta di ingresso per l’attaccante che può eseguire upload di file maligni e alterazione dei contenuti, tutto questo all’insaputa del webmaster.
Post correlati :
osCommerce colpito da iniezioni iframe
Pingback: Iniezioni di iframe maligni su Joomla « Servizi managed e gestione server – servermanaged.it blog