Cerca nel blog

2009/04/10

Bucato il sito di Paul McCartney

Hack in the USSR


L'articolo è stato aggiornato dopo la pubblicazione iniziale.

PaulMcCartney.com, il sito del popolarissimo ex Beatle dato per morto quarant'anni fa da una celebre leggenda metropolitana, è stato violato pochi giorni fa iniettandovi LuckySploit, un programma ostile che fra le altre cortesie sfrutta le vulnerabilità dei browser degli utenti e una falla del software Adobe per la gestione dei file PDF per tentare di installare un rootkit nei computer dei visitatori del sito che non si sono protetti adeguatamente e che non hanno installato gli aggiornamenti già resi disponibili da Adobe.

L'attacco è stato mirato e calcolato per coincidere con il concerto di beneficenza che ha visto insieme a New York Paul McCartney e Ringo Starr. La società di sicurezza Scansafe segnala che l'attacco è stato rilevato il 5 di aprile scorso e subito bloccato, ma secondo Infosecurity il sito è rimasto infetto per tre giorni. La violazione sembra aver avuto come obiettivo l'infezione dei computer degli utenti allo scopo di rubare le loro password di accesso a servizi bancari e simili. Erano a rischio gli utenti Windows; gli utenti di altri sistemi operativi non erano nel mirino degli aggressori.

Il codice ostile portava i computer delle vittime a un singolo indirizzo IP di Amsterdam, che è stato bloccato. I sintomi e la sofisticazione dell'attacco (Iframe nascosto, Javascript offuscato, encoding non standard dei caratteri, certificato SSL per cifrare il proprio carico di istruzioni ostili) puntano a un'operazione molto professionale. I tempi dei vandali virali sono proprio finiti.

9 commenti:

Fry Simpson ha detto...

REFUSO:

"leggenda metropolitana" linka a scansafe, invece che alla leggenda.
Ciao da Fry

Juhan ha detto...

ottimo titolo! (& post, naturalmente).

L'economa domestica ha detto...

Titolo favoloso, e articolo mooolto interessante. Forse sono stati i complottisti del "Paul is dead" ad infettare il sito di William Campbell...

FridayChild ha detto...

Anche
"It came in through the website window"
o
"Get hacked"

oscar ha detto...

sono sceso nei commenti apposta per farti i complimenti per il titolo. straordinerio :)

Tukler ha detto...

Non credo proprio che sia stato un attacco mirato, proprio ieri stavo indagando sul virus dopo averlo visto su un sito infetto il 1° aprile, ma su un forum si trova gente che ne parla già da gennaio.

Comunque è molto ben fatto, quando visiti una pagina infetta (e solo se utilizzi Windows e Internet Explorer) trasmette del codice offuscato in diverse maniere (e quindi incomprensibile da content firewall vari) con algoritmi javascript per cifrare e decifrare RSA e RC4, la sua chiave pubblica (non c'entra il certificato, solo la chiave pubblica) per RSA, e un algoritmo di generazione casuale di una chiave privata per RC4...
Si fa passare quest'ultima chiave tramite RSA, e poi la utilizza per spedirti tutte le varie istruzioni...

Controlla le versioni di Flash, Acrobat Reader e nei MDAC (odbc ecc) di Windows, e se hai versioni vecchie con bug ti invia gli exploit corrispondenti... il tutto senza poter essere rilevato da nessun firewall!

Paolo Attivissimo ha detto...

Refuso sistemato, grazie!

E grazie per i complimenti, ma il titolo non è merito mio: l'ho visto in giro in Rete e m'è piaciuto.

theDRaKKaR the bloody homeopath ha detto...

ma in questa frase

un programma ostile che fra le altre cortesie sfrutta le vulnerabilità dei browser degli utenti e una falla del software Adobe per la gestione dei file PDF per tentare di installare un rootkit nei computer dei visitatori del sito che non si erano protetti adeguatamente e che non avevano installato gli aggiornamenti forniti da Adobe

perché usi il passato?

un programma ostile che fra le altre cortesie sfrutta le vulnerabilità dei browser degli utenti e una falla del software Adobe per la gestione dei file PDF per tentare di installare un rootkit nei computer dei visitatori del sito che non si sono protetti adeguatamente e che non hanno installato gli aggiornamenti forniti da Adobe

suona meglio, non trovi?

saluti dal pingolone :)

Paolo Attivissimo ha detto...

Thedrakkar,

era un passato riferito al fatto che lo status non protetto dei visitatori si svolgeva durante il periodo in cui Paulmccartney.com era infetto. Troppo pedante, in effetti. Ho sistemato, grazie.