La moda di questi anni, si sà, è l’inserimento di javaScript offuscati all’interno di pagine web innocenti che, d’improvviso, innocenti non lo sono piu ma diventano dei veicoli per infettare gli utenti del web.

Alcuni anni fa scoppiò il caso Aruba e Hosting Solutions, due tra i maggiori hosting provider italiani, che si videro compromettere centinaia di siti web ospitati nei loro server. “Una particolare tecnica di phishing, ben congeniata, che era riuscita ad ingannare gli utenti e a convincerli a comunicare le password di accesso ai propri siti web“. Questa fu, secondo una delle due società, la causa principale della compromissione dei siti web ospitati. Nessuna falla del sistema.

Che il phishing sia una delle più gravi piaghe degli ultimi anni è risaputo, ma che a cadere vittima di una tecnica di phishing sia uno dei maggiori siti italiani dedicato alla lotta contro il phishing, questo sembra fuori da ogni possibile logica. E, d’altronde, a distanza di anni, potrebbe riaprire la diatriba portata avanti per settimane “fu colpa degli hosting provider e di una falla di sistema o fu veramente colpa degli utenti e di qualche sofisticata tecnica di phishing?“.

In queste ore il sito web anti-phishing.it, una delle maggiori risorse italiane nella lotta contro il phishing, è stato compromesso e nella home page è stato inserito un javaScript offuscato che reindirizza ad alcune pagine web contenenti exploit. Il server contenente gli exploit è individuabile all’indirizzo 70.38.31.90. Il sito è ospitato in uno dei server Aruba dedicati allo shared hosting.

Le pagine web malevole si occupano, attraverso exploit vari, di scaricare automaticamente nel PC vittima un trojan che installa il famigerato MBR rootkit.

Il fatto in sé farebbe rivalutare la causa “phishing“, vista la vittima illustre. Ad un’analisi più dettagliata risultano piu di una cinquantina i siti web compromessi con lo stesso javaScript offuscato, per ora tutti ospitati su Aruba.

Tra le vittime illustri anche il sito web personale del deputato dell’Italia dei Valori Franco Barbato, il sito non ufficiale italiano dedicato a Twitter, il sito ufficiale del gruppo musicale Zero Assoluto, il sito della rete sismica sperimentale italiana I.E.S.N . L’analisi di molti siti web è ancora in corso tuttavia, non è possibile escludere a priori ulteriori siti web famosi compromessi.

Il dropper scaricato nel PC della vittima attraverso gli exploit è al momento individuato, stando ad una scansione su VirusTotal, da soli 10 antivirus su 41 testati. Una volta eseguito, si connette all’indirizzo IP 72.51.41.83 da dove scarica la seconda parte dell’infezione, che si occuperà di installare il rootkit vero e proprio.

Il fatto che i siti web compromessi siano ospitati su diversi server Aruba e non centralizzati tutti su uno stesso indirizzo IP lascerebbe pensare che non si tratti di una falla nei server di Aruba, ma più di un attacco mirato verso specifici obiettivi. Tuttavia, la presenza di un sito web quale anti-phishing.it tra le vittime dell’attacco porterebbe idealmente ad escludere l’ipotesi di un attacco tramite phishing e di un infezione nel sistema dei gestori del sito web.

Rimarrebbe l’ipotesi di una compromissione lato server, che potrebbe combaciare anche se i siti web sono sparsi tra vari indirizzi IP. I pirati informatici potrebbero voler non dare troppo nell’occhio ed evitare di far vedere di avere libero accesso ai server. Facendo così, colpendo pochi siti web e sparsi tra i vari server, apparirebbe come una lacuna lato client, colpa di qualche webmaster distratto e di qualche e-mail di phishing ben costruita. Purtroppo, però, la verità – qualunque essa sia – difficilmente verrà mai a galla.

Al momento gli utenti Prevx sono completamente protetti da questo attacco. Chi pensa possa essere rimasto infetto, può effettuare una scansione gratuita con Prevx. In caso di infezione presente, verrà identificata come Rootkit.MBR.

UPDATE 23/01/2010 ore 10.20

Questa è una lista parziale dei siti web ospitati sui server Aruba rimasti colpiti dal javaScript offuscato:

www.abodybuilding.com
www.actarus.it
www.aerrepici.org
www.agdesktop.com
www.ageofgames.net
www.agriturismofrattavecchia.it
www.amiciinsoliti.it
www.anden1.org
www.animetv.it
www.anti-phishing.it
www.arcierimonica.org
www.arkearcheologiasperimentale.it
www.armerie.net
www.armeriecalvini.com
www.arribalafoto.com
www.artedelcorpo.com
www.asciitable.it
www.astralis.it
www.atzone.it
www.aulamanga.it
www.aureliagarden.it
www.beachsolaire.it
www.becariosicex.com
www.bellezzedellatoscana.it
www.beneventocalcio.it
www.bitsforfree.eu
www.bleachrevolution.net
www.borgometeo.it
www.broderie.it
www.buffyitalianworld.com
www.bugatticlubitalia.it
www.bullmanu.com
www.caicittadella.it
www.capware.it
www.cartonianimati3d.it
www.cieliaperti.com
www.clipboom.it
www.cloudgoessocial.net
www.clubclio.com
www.cocinatusrecetas.com
www.compagniadragonero.it
www.comunicati-stampa-gratis.net
www.comunidadgm.org
www.console-inf.com
www.correrenelverde.com
www.correrenelverde.it
www.corriereuniv.it
www.coverworld.it
www.cravenroad7.it
www.crea-nickname.com
www.croaziatravel.it
www.css-zibaldone.com
www.cucinaconme.it
www.cuprefijos.com
www.daisoft.it
www.damagedsoul.net
www.davidevasta.biz
www.delmutolo.com
www.domainers.it
www.dragonballgt.it
www.economia-solidale.org
www.elbaexplorer.com
www.emiliaromagnameteo.com
www.encirobot.com
www.esdeperu.com
www.fibonacci.it
www.flashgamesfree.org
www.forum-immobiliare.com
www.forumeteo-emr.it
www.forzalghero.com
www.francobarbato.com
www.fundaciondoctordepando.com
www.galleriaborghese.it
www.gemini.bs.it
www.gianmarcoterracciano.net
www.gifforyou.com
www.ginevra2000.it
www.giochigratisenigmisticaperbambini.com
www.giochigratisonline.eu
www.goatseo.com
www.gratiscasa.it
www.guylumbardot.com
www.harrrdito.it
www.hnkweb.com
www.icarli.com
www.iconbulk.com
www.iesn.org
www.ildizionario.eu
www.ilgiornaledirieti.it
www.indicededibujos.com
www.indicedejuegos.com
www.indicedepaginas.com
www.indovinelli.net
www.infoseriea.com
www.infoshaker.com
www.interelectron.com
www.inworg.com
www.istruzionevenezia.it
www.juicenet.it
www.kartoline.net
www.katalogato.com
www.kitepoint.it
www.lacasalingaideale.it
www.lagomaggioreonline.it
www.lamiabarrique.com
www.lemacinaie.com
www.liciatroisi.it
www.linguafrancese.it
www.linuxcmd.org
www.linuxguide.it
www.livincool.com
www.llama-gratis.com
www.lottointelligente.it
www.lucianabartolini.net
www.madeincima.eu
www.maestrasabry.it
www.mainecoonclub.it
www.marcoardigo.it
www.massimodesantis.com
www.mattbates.net
www.medicinelab.net
www.meganime.org
www.megghy.it
www.mercurymailmarketing.it
www.messinasalsa.com
www.milkaddict.com
www.mircmania.it
www.mondobirra.org
www.mondoglitter.it
www.monza-news.com
www.motogpricambi.com
www.msnmessenger7es.com
www.mylastmistake.org
www.myphotoexperience.net
www.nacionarcade.net
www.nerdgranny.com
www.nuestrocine.com
www.oasidelpensiero.it
www.ordinarydream.com
www.panzallaria.com
www.papeetebeach.com
www.pcitaliashop.it
www.pescainmare.com
www.photo-browser.com
www.pillolibri.it
www.portalinoweb.it
www.portalnet.org
www.primitaly.it
www.progettovidio.it
www.programmi-giochi-nokia.it
www.qeveria.eu
www.radiocentro95.it
www.realiteti.org
www.roogler.net
www.scrittura.org
www.scultura-italiana.com
www.scuoladitaliano.com
www.shiftiteasy.com
www.shopsims.it
www.simpsonet.com
www.sologratis.it
www.soluzionistore.com
www.storiain.net
www.studiocappello.it
www.tekken-series.com
www.testiemusica.com
www.thepictureswarehouse.com
www.torinointernational.com
www.tuttoirc.it
www.twitteritalia.it
www.usplecce.it
www.viaggimiei.net
www.viajeajapon.com
www.videogiochi3d.it
www.videositios.com
www.vinigiovannini.it
www.violenza124.com
www.voxita.com
www.webgif.org
www.webwards.net
www.wikivideo.it
www.wooki.es
www.wowwiki.it
www.youhentai.net
www.youngdesigner.it
www.yourselfholidays.com
www.zeroassoluto.it

Alcuni di questi, tra cui anti-phishing.it, hanno già bonificato la pagina web e rimosso il codice nocivo.