5 dicembre 2012

Doctor Web — sviluppatore russo dei programmi antivirus — informa di una propagazione di malware tramite siti web violati. Tra le altre, è diventata una fonte di infezione la risorsa web ufficiale del Dalai Lama. Il malware propagato può funzionare sia su Windows, sia su Mac OS X.

Alcuni giorni fa gli utenti dell’antivirus hanno riferito al team di Doctor Web che il sito del Dalai Lama, capo spirituale tibetano, è stato violato da hacker sconosciuti. Studiando la situazione, gli esperti di Doctor Web hanno scoperto che un file di formato jar comprendente un exploit (CVE-2012-0507) si scarica sul computer quando si tenta di aprire nel browser il suddetto sito infetto. Tramite questa vulnerabilità viene eseguito automaticamente un trojan per Mac OS X, inserito nel database virale di Dr.Web con il nome di BackDoor.Dockster.

Questo programma malevolo si mette nell’home directory dell’utente di Mac OS X e si esegue. Il programma non richiede privilegi di amministratore e può funzionare anche con un account di un utente normale. BackDoor.Dockster può registrare le sequenze dei tasti premuti dall’utente del computer infettato (ovvero, le password inserite sul computer infettato) e trasferirle ai malintenzionati, nonché è in grado di eseguire diversi comandi impartiti dai malintenzionati.

È molto interessante che il trojan cerchi di infiltrarsi su tutti i computer dei visitatori del sito, a prescindere dal sistema operativo in uso. Probabilmente, gli hacker che hanno violato il sito del Dalai Lama non avessero potuto configurare una verifica del sistema operativo del client sul server attaccato. Ciò si conferma anche dal fatto che gli esperti di Doctor Web hanno rilevato sul sito contaminato un altro file di formato jar, install.jar, comprendente l’exploit CVE-2012-4681. Tramite questo exploit può installarsi sul computer vittima un malware dalla famiglia BackDoor.Dockster.1 , orientato ai sistemi operativi Windows e progettato per raccogliere e trasmettere informazioni riservate e per eseguire diversi comandi sulla postazione infetta. Tuttavia, adesso il suddetto file jar non si scarica sui computer degli utenti.

Si sa di almeno due altri siti web violati che controllano il SO dei visitatori e secondo i risultati del controllo scaricano sul computer il file jar corrispondente. Su uno di questi siti, la versione del file jar per Windows contiene Exploit.CVE2011-3544.83 che installa sul computer il programma malevolo Trojan.Inject1.14703. La versione del file jar per gli altri sistemi operativi utilizza la vulnerabilità CVE-2012-0507. Tramite questa vulnerabilità i sistemi Mac OS X possono essere infettati dal malware BackDoor.Lamadai.1. Lo stesso malware si scarica sui computer con i sistemi operativi Linux, però in tale caso il programma non è in grado di funzionare.

Sul secondo sito, che è un sito sudcoreano popolare, dedicato alle notizie della Corea del Nord, si esegue una verifica del sistema operativo del visitatore, ma vengono infettate solo le macchine Windows. Il programma malevolo che si impadronisce dei computer è Trojan.MulDrop3.47574.

Anche nel passato occorrevano incidenti associati al nome del Dalai Lama e alla lotta per l’indipendenza del Tibet, per esempio propagazione di malware e mailing di dati dannosi a gruppi target. Possiamo parlare di una tendenza generale la quale dimostra che i malintenzionati eseguono attacchi ben mirati ai siti web di temi politici tibetani o nordcoreani.

Gli indirizzi dei siti infetti sono stati inseriti temporaneamente nei database del filtro http Dr.Web SpIDer Gate per prevenire infezioni sui computer degli utenti.