L’America Latina è stata colpita da attacchi informatici “mascherati” in forma di software per i router basati su Linux/UNIX: in particolare il malware affliggerebbe i D-Link DWL-900AP+, un modello non più supportato in Europa. Si tratta di un binario ELF per architetture MIPS, potenzialmente trasferibile al router anche da Windows.
Trend Micro, la società statunitense che ha trovato il malware, l’ha chiamato ELF_TSUNAMI.R: un backdoor per aprire la comunicazione del router ai server su IRC. Il backdoor è in grado d’eseguire programmi per brute forcing ed exploit sui router infetti. Oppure può reimpostare la configurazione e inibire la protezione del wireless.
Il binario potrebbe essere soltanto «la punta dell’iceberg» di un piano più ambizioso: nel 2008, in Messico, un altro attacco simile aveva coinvolto i modem attraverso un file contenuto nelle e-mail. Ulteriori pericoli di ELF_TSUNAMI.R consistono nell’accesso amministrativo al router come nella disabilitazione del firewall interno.
Via | ZDNet UK
La notizia non è delle migliori: Mozilla Foundation ha confermato che due plugin del più noto browser open source, in hosting presso addons.mozilla.org, conterrebbero codice malevolo in grado di rubare informazioni agli utenti che utilizzano Firefox su piattaforma Windows.
I due componenti aggiuntivi riguardano la versione 4.0 di Sothink Web Video Downloader e tutte le versioni del manager di download Master Filer.
Sono oltre 4.600 gli utenti potenzialmente vittime di questo attacco (Master Filer è stato scaricato oltre 600 volte, contro i 4.000 di Sothink Web Video Downloader). Mozilla, pertanto, raccomanda agli utenti di rimuovere i due add-ons ed eseguire una scansione antivirus (in quanto la semplice rimozione dei due componenti non elimina i Trojans).
Networkworld riporta una notizia abbastanza allarmante: secondo Don Jackson, senior chief researcher di SecureWorks, gli attacchi di massa che nel mese scorso hanno colpito i server Web Apache hanno avuto successo a causa di “falla” del software che ha permesso ad hacker ancora non identificati di inserire codice maligno all’ interno dei server.
Anche se non è ancora stata chiarita la provenienza di quest’ attacco, si pensa a gruppi hacker dell’ Europa Occidentale o del Nord America, il fenomeno sta velocemente dilagando e le stime iniziali di qualche centinaio di server sono cresciute fino a 10000 server danneggiati. A quanto sembra l’ attacco parte con il famoso malware Rbot: un programma che crea una backdoor tramite IRC per permettere il controllo del computer infettato che viene “iniettato” in un modulo di Apache, per sfruttare poi falle di QuickTime, AOL SuperBuddy e Yahoo! Messenger.
Anche se la maggior parte degli antivirus riconosce questo malware, la prevenzione del contagio non è affatto semplice: sebbene infatti basti disabilitare il caricamento dinamico dei moduli di Apache, bisogna tenere conto che molti server fanno largo affidamento su questa funzione e quindi questa rimane una soluzione non definitiva.
ossblog è un supplemento alla testata Blogo.it registrata presso il Tribunale di Milano n. 487/06, P. IVA 04699900967. Contatti, chi siamo
© 2004-2011 Blogo.it, alcuni diritti riservati sotto licenza Creative Commons.
Per informazioni pubblicitarie e progetti speciali su Ossblog.it contattare la concessionaria esclusiva Populis Engage.
