iFrame malevoli colpiscono i CMS più conosciuti.
In questo periodo si stanno verificando, in tutto il mondo, attacchi continui ai CMS più conosciuti, sfruttando le loro falle di sicurezza nelle URL e URI, oppure nascondendo dentro di loro, reindirizzamenti random tramite iFrame malevoli a siti web inconsapevoli che diventano, a loro volta, dei ponti che puntano tutti a siti web di vendita che così rafforzano la loro importanza nelle SERP e spammano pesantemente il loro prodotto tramite questi delitti informatici.
Questi, sono posti in atto da cracher che utilizzano programmi Sutra TDS (Traffic Distribucion Sistems) e Rotori software che effettuano delle injection iFrame malevoli, sfruttando le vulnerabilità dei siti, posti in esecuzione tramite CMS, Joomla, WordPress, Drupal, etc …
Vediamo come. Le URL sconosciute sono eseguite come nighttrend.cgi? 8, ma poi queste si randomizzano parzialmente portando il malware con se e distribuendolo pesantemente e continuamente nei siti sotto attacco, indebolendo anche l’indicizzazione degli stessi sui motori di ricerca perché inconsapevoli di portare in se l’infezione e quindi il collegamento ad altri siti nascosti.
Attraverso jpscu.esempio.info il visitatore viene reidirizzato su ggysxf.esdempio.biz in cui un Blackhole Exploit Kit è in sua attesa.
Riconosciamo gli iFrame malevoli: jpscu.esempio.info/tgewogjqog9.cgi?4
Questo dominio agisce come rotatore.
Il rotatore è un programma malevolo di collegamento che utilizza un dominio per amplificare la sua azione di efficacia tramite una continua esecuzione di una stringa che può mutare nel tempo utilizzando come fonte virale gli stessi domini attaccati che diventano inconsapevolmente agenti di propagazione del malware tramite il sistema di gestione del traffico TMS (Trafic Management Sistems) che punterà utenti con destinazioni sempre diverse ogni volta che viene richiesto un collegamento o si forniranno dei contenuti diversi, in base alla posizione geografica del visitatore.
Esse potrebbero anche includere il nome di una azienda per diffondere il malware tramite il suo ID.
Si può controllare lo stato del proprio sito, da shell di root, verificando che i file Javascript che vengono utilizzati nei CMS non siano stati iniettati con stringhe malevoli di codice in esecuzione o in altro modo ancor più pericoloso.
Per verificare altri stati di attacco del sito, si può digitare all’interno di una casella di ricerca di un qualunque motore, la query “site: aggiungendo l’indirizzo URL del proprio sito senza l’http://”.
es.: site:www.nomeadominio.com
Fate attenzione di riportare tutto l’indirizzo in modo preciso senza spazi ne maiuscole.
Continuiamo dicendo che questi criminali informatici, stanno utilizzando al momento questa tecnica, ma spesso questa viene potenziata con altro più pesante attacco informatico che è in grado di far scomparire, quasi istantaneamente, un sito web da tutti i motori di ricerca, ma la modalità con cui si può eseguire questo attacco per ragioni di responsabilità ed etica informatica non posso rivelarvelo, posso però insegnarvi come contrastarlo e renderlo così innocuo. Vai a Proteggersi dal Malvertising.
Vediamo un esempio di TDS Sutra (Sistema di distribuzione del traffico).
Dal jpscu.esempio.info il visitatore viene reindirizzato a ggysxf.esempio.biz in cui un kit Exploit Blackhole è in attesa del visitatore.
ggysxf.esempio.biz / Goodday / fresco / carta rates_operators-apologys.php
Da shell di root si può verificare l’iFrame dannoso e la modalità con cui viene iniettato nei diversi singoli file javascript fra cui si potrà notare una prevalenza Mootool.
Di conseguenza, i CMS, utilizzando una struttura comune e replicata su tutte le distribuzioni permette una diffusione veloce e simultanea dell’infezione rendendo gli stessi più vulnerabili rispetto a siti web realizzati ad hoc.
Il dominio che esegue il TDS Sutra viene richiamato più volte, ma il visitatore viene reindirizzato solo una volta per ogni kit d’exploit mentre tutte le altre richieste vengono volte e reindirizzate su Google.
Se utilizzi un client FTP che memorizza le password in chiaro (come FileZilla o simili) devi verificare che i computer, che accedono tramite questo protocollo non sicuro, non siano già stati infettati da malware e/o keylogger.
Se infettati, devi modificare tutte le password e le credenziali di ogni sito.
E’ vivamente consigliato utilizzare protocolli sicuri e criptati come SFTP o FTPS. Ovviamente bisogna anche verificare che il piano hosting utilizzato, supporti questi protocolli.
Se vuoi un hosting sicuro scegli il nostro Cloud Hosting!