Symantec lancia l'allarme: scoperti i primi attacchi "drive-by pharming"

“Cambiate le credenziali di accesso al vostro router, qualora ancora non aveste provveduto”. E’ questa la sostanza di uno studio condotto da Symantec di concerto con la Indiana University School of Informatics e reso pubblicato a Febbraio dello scorso anno. Un aggressore remoto, mettendo a punto a pagina web maligna facente uso di uno speciale codice Javascript, potrebbe essere in grado di modificare, senza alcuna autorizzazione, la configurazione del router utilizzato dall’utente. In particolare, questi potrebbe forzare la modifica del server DNS utilizzato reindirizzando così le richieste di accesso ai siti più famosi, fidati e conosciuti verso pagine web dannose, creati con lo scopo di indurre l’utente a digitare username e password personali per l’accesso a servizi web, conti correnti online e così via.

“Credo che questo attacco abbia delle serie implicazioni e coinvolga, purtroppo, milioni di utenti in tutto il mondo”, osservò Zulfikar Ramzan, ricercatore Symantec.

Nel corso dell’analisi effettuata, infatti, nei laboratori di Symantec si riuscì a preparare un’unica pagina web maligna in grado di modificare la configurazione delle tre marche di router più diffusi ovvero D-Link, Linksys e Netgear. Il rischio è concreto perché è sufficiente visitare un sito web dannoso che faccia uso di una simile pagina web da una qualunque workstation collegata al router.

Questa particolare metodologia d’attacco, battezzata drive-by pharming, a quasi un anno esatto di distanza, è purtroppo divenuta realtà. Sebbene infatti l’esperimento fosse stato condotto con successo nei laboratori di Symantec, non si era assistito, almeno sino ad oggi, alla diffusione di attacchi del genere su larga scala.

Gli esperti di Symantec hanno infatti da poco individuato i primi tentativi di attacchi “drive-by pharming”: gli aggressori hanno isnerito del codice nocivo in un messaggio di posta elettronica che invita l’utente a visionare una cartolina d’auguri sul web. Il messaggio di posta elettronica contiene una tag IMG che provvede ad effettuare una richiesta HTTP GET ad un popolare modello di router (almeno in Messico, dato che l’attacco sembra essere partito da questa nazione). La richiesta GET provvede a modificare le impostazioni DNS del router in modo tale che le connessioni a siti web di istituti di credito venga dirottate su server gestiti dagli aggressori.
Da Symantec si osserva come questo tipo di attacco, sferratto su un preciso modello di router, non richieda nemmeno la conoscenza delle credenziali amministrative del dispositivo.

Per difendersi dagli attacchi “drive-by pharming” Symantec caldeggia comunque la modifica degli username e password di default del router (generalmente “admin”, “admin” oppure “admin”, “password”). Massima attenzione, inoltre, va sempre riposta nei confronti di e-mail che invitano a cliccare su link. Anche se tali collegamenti ipertestuali possano sembrare, all’apparenza, non pericolosi.