Tratto dallo speciale:

MySQL.com, a rischio migliaia di utenze

di Tullio Matteo Fanti

Pubblicato 27 Settembre 2011
Aggiornato 21 Dicembre 2011 08:54

logo PMI+ logo PMI+
Allarme per il portale MySQL.com, che a causa di un attacco da parte di misteriosi cybercriminali si è trasformato ieri per alcune ore in un portatore inconsapevole di malware.

Dalla società per soluzioni di sicurezza Armonize giunge un allarme relativo a MySQL.com, portale relativo al noto database open-source: alcuni cybercriminali avrebbero ieri introdotto sul sito linee codice maligno in grado di infettare i computer dei malcapitati visitatori. Fortunatamente l’allarme appare ora completamente sedato; restano tuttavia alcune di perplessità sull’accaduto ed alcuni timori.

Come riportato all’interno del blog di Armonize, il portale MySQL.com sarebbe stato infettato con uno script in grado di reindirizzare i visitatori verso un sito che utilizza BlackHole, famigerato pacchetto di script in grado di generare exploit sfruttando le falle presenti nei più comuni browser (e nei loro eventuali plug-in).

«Viene eseguito un exploit all’interno del browser utilizzato dal visitatore (il browser, plug-in come Adobe Flash, Adobe PDF, Java, etc.) e una volta eseguito l’exploit viene installato un software nelle macchine dei visitatori in modo permanente», spiegano i ricercatori nel blog. «Il visitatore non deve cliccare o dare il consenso a nulla per essere infettato; basta che abbia visitato MySQL.com con un browser vulnerabile».

Al momento non è ancora stata attribuita alcuna responsabilità in merito all’accaduto e non è chiaro l’intento alla base dell’operazione. Due dei malware tracciati da Armonize sembrano condurre a domini in Florida e Svezia facendo così pensare ad una tipica struttura messa in atto per sottrarre dati e credenziali. Da Kaspersky l’invito a modificare le password eventualmente utilizzate all’interno del portale incriminato, soprattutto nel caso siano utilizzate anche come chiave d’accesso per altre risorse.

Il codice maligno sembra tuttavia essere rimasto all’interno del portale solamente alcune ore prima di essere rimosso. Si stima che gli utenti coinvolti nell’exploit possano essere circa 120mila, un numero certamente limitato ma significativo, considerando soprattutto il sempre crescente numero di portali ad alto spessore coinvolti in attacchi di questo tipo.