Vai al contenuto
Home » Come ti infetto attraverso il browser

Come ti infetto attraverso il browser

Metti un venerdì sera in un pub. Si parla un po’ anche di ICT, del mercato,
delle disillusioni e delle nuove tendenze in fatto di attacchi informatici.

Ho capito che se clicco sull’allegato mi infetto perché decido io di lanciare
il vettore d’attacco, ma attraverso il browser e la sua sandbox, come fa un
javascript ad infettarmi?

Dai tante cose per scontate che, a conti fatti, hai sempre messo l’infezione
via javascript nella casella “ehi, c’è anche questa”, ma non ti sei mai posto
il perché può succedere.

Vista la scena muta fatta venerdì, vediamo di rimediare.

I pazienti 0. Qualcuno ha detto WordPress?

Prima di vedere, come tecnologicamente sia possibile infettare una macchina
attraverso un javascript, parliamo anche degli untori.

Quando raccomando di curare la sicurezza di un sito web, non tralasciando la
parte sistemistica, vengo spesso ignorato. In realtà, qualsiasi sito web può
essere appetibile per un attaccante che vuole lanciare una campagna di malware.

L’idea è semplice. Buco un sito e ne modifico il codice, affinché includa un
javascript, solitamente ospitato in forma minimizzata ed offuscata, in qualche
server bucato in precedenza. Questo javascript verrà utilizzato per portare
avanti un’infezione di massa e forzare, innocui utenti dell’Internet quotidiana
a scaricarsi codice malevolo nella speranza non sia presente un antivirus
aggiornato o un utente smaliziato.

Perché ho parlato di WordPress nel titolo? Semplice.
E’ il CMS più diffuso al mondo. Milioni di siti web girano su versioni, a volte
drammaticamente poco aggiornate di WordPress. Il problema principale, non è
tanto il CMS utilizzato o PHP, che sembra essere
diventato il nuovo W1nz0z sulle bocche di tante wannabe1
Il problema di WordPress sono i plugin e temi, scritti senza il minimo concetto
di sicurezza applicativa.

L’ombra dello Scriptone

Lo scorso novembre, sucuri pubblicò un
post
sull’uso di una versione fake di jquery per distribuire malware. In un dominio
che richiamava, quello di jQuery, era stato messo un codice javascript
malevolo.

Questo codice, dopo una 10 di secondi di timeout, caricava dinamicamente un
altro codice javascript in hosting su un sito sotto il controllo
dell’attaccante.

Partendo dalla violazione di uno o più siti, basati in questo caso o su
WordPress o su Joomla, altro popolare CMS, sempre scritto in PHP, veniva
distribuito codice malevolo per caricare il payload dell’attacco da un sito
terzo.

Perché non iniettare direttamente il codice del malware nei siti compromessi?

Buona domanda. Da una parte, perché di solito il loader non include solamente
un sito da cui scaricare il malware. Partendo dal presupposto che prima o poi i
siti verranno messi in blacklist, l’attaccante vuole poter avere un po’ di
flessibilità e quindi scorporare il loader da uno o più codici malevoli diversi
che ha depositato in giro per Internet.

In generale, disaccoppiare queste due fasi, mi da comunque un po’ di
flessibilità anche per gestire eventuali update al codice del malware vero e
proprio.

Ovviamente, un javascript caricato ed eseguito nel mio browser può fare tante
cose cattive. Ad esempio può inviare le mie credenziali via HTTP ad un sito
controllato dall’attaccante o, meglio ancora, può scaricare cose sul mio
laptop.

Ad esempio, nel malware descritto da questo post su Spiderlabs, il javascript che fungeva da loader, scaricava tre eseguibili:

  • un eseguibile rendeva il client vittima della botnet
    Fareit il cui
    scopo era il furto di credenziali di siti ftp, email, portafogli bitcoin.
  • un codice che rubava i contatti dalla rubrica di Outlook per inviarli al sito
    spamhausgandon[.]com
  • in ultim’analisi il codice di Cryptolocker, per non farsi mancare nulla.

In questo caso, i malware erano eseguiti attraverso Windows Script Host
(WSH)
. Target erano quindi
utenti di casa Microsoft, che possono proteggersi iniziando a disabilitare
WSH

Off by one

Ok, niente panico. Non serve più quindi evitare di cliccare PDF e allegati a
caso. Bisogna stare attenti anche a dove si naviga… il problema è come
riconoscere un sito compromesso da uno integro?

Ad esempio possiamo usare estensioni come WOT che aggiunge un’informazione reputazionale sul sito web. Possiamo usare l’estensione di VirusTotal e ricordarci di installare e mantenere aggiornato il nostro Antivirus.

Io, ad esempio, sul Mac uso Avast. Ho
configurato il firewall interno. Cerco di usare sempre un po’ di raziocinio ma
so di non essere sicuro al 100%.

L’importante, come sempre… è esserne consapevoli.

Navigate sicuri ed… enjoy it!

UPDATE

Per proteggere il vostro browser, vi consiglio caldamente di andare sul sito MalwareBytes ed installare il loro kit di anti exploit

  1. un wannabe potremmo definirlo un banfone tecnologico. Un personaggio che
    vorrebbe essere un hacker di tutto rispetto, travisando ovviamente il
    significato del termine stesso, ma non ha né le competenze tecnologiche,
    né la voglia di mettersi in gioco ed imparare. 

Tag:

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.