Secondo un Security Response pubblicato da Symantec, sta avvenendo in questi giorni un attacco su larga scala intenzionato a colpire diversi siti web Italiani. Questo attacco sfrutta un “final domain” ed esegue i codici exploit del kit Mpack 0.86, un sistema di distribuzione malware venduto da una gang russa già pronto per essere installato su server (in particolar modo su IIS 6.0).

Una volta installato e attivato su di un server l’hacking dei siti avviene aggiungendo codice IFRAME alle pagine web. Questo permette l’attivazione di siti web di typo-squatting su domini molto trafficati.

Questo IFRAME viene chiamato da Symantec Trojan.Mpkit!html .

Possiamo vederne un esempio in questa schermata:

Come vedete il codice IFRAME nasconde l’IP nocivo 58.65.239.180.

Pc Al Sicuro ci segnala che anche i server di Aruba, uno dei più importanti hoster italiani, sono stati compromessi.

Il problema si può risolvere con una configurazione adeguata a livello ISP/Hosting.

(No Ratings Yet)

 Loading ...