Alert GCSA 07059 - Attacco a siti web italiani
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
******************************************************************
Alert ID : GCSA-07059
Data : 20 Giugno 2007
Titolo : Attacco a siti web italiani
******************************************************************
:: Descrizione del problema
E' stata diffusa da Trend Micro e Symantec la notizia relativa ad un
massiccio attacco perpetrato verso siti web italiani.
http://it.trendmicro-europe.com/enterprise/about_us/spresse.php?&id=335
http://www.symantec.com/enterprise/security_response/weblog/2007/06/italy_under_attack_mpack_gang.html
L'attacco consiste nella compromissione di un sito web sfruttando le
vulnerabilita' del server web e nel successivo inserimento di tag
IFRAME maligni all'interno di pagine legittime. La funzione del
tag IFRAME iniettato e' quella di reindirizzare ogni utente che sta
navigando sul sito manomesso verso siti Web illegali contenenti
malware di vario genere.
L'ipotesi piu' diffusa e' quella che gli autori di questi attacchi
stiano utilizzando un apposito kit commerciale venduto in Russia e
denominato MPack.
http://blogs.pandasoftware.com/blogs/pandalabs/archive/2007/05/11/MPack-uncovered_2100_.aspx
Il sito www.pcalsicuro.com ha divulgato una lista di indirizzi IP
comparsi all'interno dei tag IFRAME scoperti su alcuni dei siti
colpiti dall'attacco:
58.65.239.180
64.38.33.13
64.62.137.149
81.95.149.114
194.146.207.18
194.146.207.23
194.146.207.129
Qualora durante il monitoring del traffico di rete risultassero
connessioni verso uno degli IP incriminati cio' potrebbe essere
sintomo di probabile infezione.
:: Riferimenti
Punto Informatico
http://punto-informatico.it/p.aspx?i=2022019
Pc al Sicuro
http://www.pcalsicuro.com/main/2007/06/possibile-intrusione-nei-sistemi-aruba/
Symantec
http://www.symantec.com/enterprise/security_response/weblog/2007/06/italy_under_attack_mpack_gang.html
http://www.symantec.com/enterprise/security_response/weblog/2007/06/mpack_the_strange_case_of_the.html
TREND MICRO Italia
http://it.trendmicro-europe.com/enterprise/about_us/spresse.php?&id=335
-----BEGIN PGP SIGNATURE-----
iQCVAwUBRnlHYvOB+SpikaiRAQJTegP8D8mKqeJLvXK4IYNiYHloEThwBojlPxd5
EBPuPWdn4miKrqZ7/mz5A8/9pGXqO/9wxsdtfEuobLIwGczRUWU1NX2v5R1cUEfg
s3Y/HI2l3/76QMjhJr1ziNoVRwa0UOi5R+4yt20Etb6U4jm3/Vpcx/uc9GYVlI7h
8BVNc24RF/k=
=Cez4
-----END PGP SIGNATURE-----
Hash: SHA1
******************************************************************
Alert ID : GCSA-07059
Data : 20 Giugno 2007
Titolo : Attacco a siti web italiani
******************************************************************
:: Descrizione del problema
E' stata diffusa da Trend Micro e Symantec la notizia relativa ad un
massiccio attacco perpetrato verso siti web italiani.
http://it.trendmicro-europe.com/enterprise/about_us/spresse.php?&id=335
http://www.symantec.com/enterprise/security_response/weblog/2007/06/italy_under_attack_mpack_gang.html
L'attacco consiste nella compromissione di un sito web sfruttando le
vulnerabilita' del server web e nel successivo inserimento di tag
IFRAME maligni all'interno di pagine legittime. La funzione del
tag IFRAME iniettato e' quella di reindirizzare ogni utente che sta
navigando sul sito manomesso verso siti Web illegali contenenti
malware di vario genere.
L'ipotesi piu' diffusa e' quella che gli autori di questi attacchi
stiano utilizzando un apposito kit commerciale venduto in Russia e
denominato MPack.
http://blogs.pandasoftware.com/blogs/pandalabs/archive/2007/05/11/MPack-uncovered_2100_.aspx
Il sito www.pcalsicuro.com ha divulgato una lista di indirizzi IP
comparsi all'interno dei tag IFRAME scoperti su alcuni dei siti
colpiti dall'attacco:
58.65.239.180
64.38.33.13
64.62.137.149
81.95.149.114
194.146.207.18
194.146.207.23
194.146.207.129
Qualora durante il monitoring del traffico di rete risultassero
connessioni verso uno degli IP incriminati cio' potrebbe essere
sintomo di probabile infezione.
:: Riferimenti
Punto Informatico
http://punto-informatico.it/p.aspx?i=2022019
Pc al Sicuro
http://www.pcalsicuro.com/main/2007/06/possibile-intrusione-nei-sistemi-aruba/
Symantec
http://www.symantec.com/enterprise/security_response/weblog/2007/06/italy_under_attack_mpack_gang.html
http://www.symantec.com/enterprise/security_response/weblog/2007/06/mpack_the_strange_case_of_the.html
TREND MICRO Italia
http://it.trendmicro-europe.com/enterprise/about_us/spresse.php?&id=335
-----BEGIN PGP SIGNATURE-----
iQCVAwUBRnlHYvOB+SpikaiRAQJTegP8D8mKqeJLvXK4IYNiYHloEThwBojlPxd5
EBPuPWdn4miKrqZ7/mz5A8/9pGXqO/9wxsdtfEuobLIwGczRUWU1NX2v5R1cUEfg
s3Y/HI2l3/76QMjhJr1ziNoVRwa0UOi5R+4yt20Etb6U4jm3/Vpcx/uc9GYVlI7h
8BVNc24RF/k=
=Cez4
-----END PGP SIGNATURE-----