Il noto sito di hosting seeweb.it, è stato compromesso tramite l’utilizzo di un iframe maligno.
Si tratta dell’ultimo di una lunga serie che ha visto interessati anche altri leader del settore come Aruba e Hosting solutions: negli ultimi mesi è aumentato in modo repentino il numero di siti web attaccati grazie alla tecnica di iframe injection.
In particolar modo, i cracker si sono introdotti nel sistema privato del sito e, approfittando del bug, unito al non completo aggiornamento dei software di sicurezza, hanno modificato il codice della pagina web in modo tale da reindirizzare gli utenti su un sito contenente malware: su pcalsicuro.com trovate un esempio di questo exploit.
Una volta raggiunto il sito compromesso, viene avviato il download del malware Rootkit.DialCall, un rootkit completamente invisibile alla maggior parte delle suite per la sicurezza: questo è dovuto al fatto che il codice del suddetto malware viene aggiornato ad ogni attacco. Inoltre una volta infettato un sistema, come prima cosa questo rootkit modifica le seguenti chiavi di registro:
%Windir%service32.exe
%Windir%syss.dll
HKLMsoftwaremicrosoftwindowscurrentversionpoliciesexplorerrun
[6G98D2X74V = %Windir%service32.exe]
HKLMsoftware6g98d2×74v
In seguito vengono scaricati, all’interno del PC infetto, altri due malware: il primo è il dialer Pa_0111.exe, che nel caso in cui dovesse riscontrare un modem a 56k, inizia ad effettuare chiamate verso numeri con prefisso 899; il secondo è un file eseguibile utilizzato per installare un adware come Broswer helper object.
I server colpiti da questa falla sono per lo più basati su tecnologia Apache e utilizzano Linux Debian o Microsoft IIS come sistema operativo.
Comunque, se si è sospettosi, si può verificare la presenza di malware all’interno del proprio computer, utilizzando una scansione online gratuita, come spiegato da ICTv.it.
