Google avvisa i proprietari di 20.000 siti web infetti

Google ha rivelato di aver messo in allerta i gestori di circa 20.000 siti web a livello mondiale che presentavano evidenti segni di un’infezione da malware. “Riteniamo che del codice JavaScript sia stato inserito nel vostro sito web a vostra insaputa e da parte di terzi. Tale codice potrebbe essere stato utilizzato per reindirizzare gli utenti verso pagine malevole“, questo il messaggio che il team Google Search Quality ha trasmesso agli amministratori coinvolti.

I tecnici di Google hanno suggerito di verificare, in particolare, la presenza dell’istruzione JavaScript eval(function(p,a,c,k,e,r) all’interno delle proprie pagine web. Si tratta infatti di una funzione che è frequentemente utilizzata per “offuscare” il codice JavaScript rendendone impossibile l’analisi all’occhio umano. Di contro, i browser web sono perfettamente in grado di comprendere e “decodificare” il codice seguendo le istruzioni riportate nel medesimo JavaScript.

Sebbene la presenza di eval(function(p,a,c,k,e,r) in una pagina web non sia necessariamente sintomo di un’infezione, è generalmente spia di qualcosa che si sta cercando di occultare. L’algoritmo di codifica del codice JavaScript è stato messo a punto da Dean Edwards (ved. questa pagina) con l’obiettivo primario di “compattare” e ridurre il peso del codice originario.

È ovvio che se non si conosce tale codice e lo si trova inserito in una delle proprie pagine web è altamente probabile che la propria applicazione web od il server sul quale è ospitato il sito sia stato oggetto di un’aggressione, condotta a termine con successo (generalmente trattasi di attacchi del tipo SQL injection).

Mark Jansen, portavoce di Google, ha spiegato che i messaggi d’allerta recapitati ai webmaster sono parte degli sforzi compiuti dalla società per contribuire alla lotta contro i malware ed il phishing. E gli interventi posti in essere sul motore di ricerca ideato dalla coppia Page-Brin sono generalmente assai influenti: lo scorso luglio, Google aveva escluso dai suoi indici oltre 11 milioni di URL appartenenti al dominio “co.cc“. Tali indirizzi venivano infatti regolarmente sfruttati da gruppi di criminali informatici per diffondere falsi software antivirus (“rogue software“) e condurre attacchi drive-by download. Gli attacchi drive-by vengono generalmente utilizzati per provocare il download automatico e l’esecuzione di codice dannoso sfruttando vulnerabilità – non sanate dall’utente mediante l’installazione delle varie patch di sicurezza – del browser web e del sistema operativo.
Vulnerabilità irrisolte nei vari programmi che si impiegano a cadenza giornaliera restano quindi il “tallone d’Achille” che può esporre sia l’utente comune, sia il professionista, sia la grande azienda a rischi d’infezione.