Security: Gumblar, un trojan capace di manipolare i risultati di ricerca del motore Google

Scritto da Enrico Bertini | 23 Maggio 2009

Si chiama Gumblar, ed è un trojan. Esso viene dapprima installato dai crackers all’interno di siti web per infettarli utilizzando credenziali di accesso FTP rubate, dopodiché è capace di infettare altresì i computers degli utenti Internet che visitano tali siti web sfruttando delle vulnerabilità esistenti in alcune applicazioni software, in particolare Adobe Flash e Adobe Reader. E una volta che il trojan sarà penetrato anche all’interno di questi ultimi, esso tenterà di rubare ulteriori credenziali di accesso FTP, allo scopo di venire installato su più web servers possibile, e sarà inoltre in grado di manipolare i risultati di ricerca restituiti dal motore Google al fine di dirottarli verso siti Internet contenenti malware. Gumblar crea perciò una botnet composta di web servers infetti e di PCs zombie il cui obiettivo finale è quello di dirottare le ricerche Internet dei navigatori verso, ad esempio, siti di phishing.

I primi attacchi di Gumblar sono stati rilevati nel Marzo 2009, e nel momento in cui sembrava che la sua propagazione fosse stata adeguatamente confinata, con Google che aveva eliminato dal database del proprio motore i siti infetti, il trojan è tornato alla carica cambiando forma come spiega ScanSafe, e Sophos riporta che esso ora rappresenta il 42% di tutto il codice maligno trovato all’interno di siti web negli ultimi sette giorni: ecco quindi che diverse aziende che si occupano di sicurezza Internet nonché l’US-CERT (U.S. Computer Emergency Readiness Team) considerano attualmente Gumblar come la più importante minaccia presente sulla Rete.

Il blog dei SophosLabs contiene delle raccomandazioni per chi si è visto infettare il proprio sito web da Gumblar, mentre invece, per verificare se ciò è avvenuto, ScanSafe consiglia di utilizzare il tool Unmask Parasites.

Categorie: Security