Lizamoon: uno dei più ampi attacchi hacker mai visti

La chiamano “Operazione Lizamoon”. E’ uno dei più grandi attacchi hacker mai visti, visto il gran numero di siti web coinvolti ed infettati (ad oggi una ricerca su Google.it ne indicizza circa 625.000). Il metodo? Praticamente uno dei più utilizzati sulla scena web, assieme agli attacchi XSS… sto parlando di SQL-Injection.

Per chi non lo sapesse, un attacco SQL-Injection usa come “criterio” l’inconsistenza dei dati passati in input ad una query in linguaggio SQL su un database: senza i dovuti controlli di consistenza il database potrebbe rispondere in maniera imprevista e non prevedibile dal programmatore, permettendo – con una query mirata – di eseguire del codice malizioso sulla macchina attaccata.

Detto ciò, vediamo cosa è successo: tramite SQL-Injection i siti infettati redirigono i malcapitati utenti verso una pagina che li avvisa di avere problemi di sicurezza, proponendo uno scan con un programma malevolo (tecnicamente conosciuto come rogueware) che risponde al nome di Windows Stability Center (immagine in basso).

Windows Stability Center - Rogueware

Una volta accettato lo scan (cosa da non fare assolutamente) viene fatto credere all’utente che, per usare il programma fake, c’è bisogno di pagare una sorta di registrazione (occhio: sono simulati anche degli sconti abbastanza cospicui): è a questo punto che il programma, esattamente come potrete notare dall’immagine qui sotto, chiederà al malcapitato utente le credenziali per effettuare il pagamento.

Windows Stability Center - Fase di pagamento

Parliamo un po’ a questo punto di dettagli tecnici. La parte più interessante della query “malevola” che porta all’injection è la seguente:

Lizamoon - SQL Injection Code

E il cuore del codice iniettato nel sito vittima, tramite questa query, è qualcosa di simile a questo:

Lizamoon - Codice Iniettato

Non ve l’ho ancora detto, ma l’operazione si chiama Lizamoon perchè il dominio che hosta il codice malevolo (quello che andrà a beccare il malcapitato utente) è proprio Lizamoon.com. Ciò significa, oltretutto, che il marchingegno è stato architettato da una sola persona.

Così, giusto per farvi un’idea dei siti già caduti vittima di Lizamoon, aprite un browser, portatevi su Google.it e inserite la seguente query di ricerca:

"<script src="http://lizamoon.com/ur.php"

Occhio però a guardare soltanto il dominio e a non clickare sul risultato: potreste cadere vittima di Lizamoon!

Tra i tantissimi nomi (alcuni dei quali anche abbastanza conosciuti) che figurano tra i risultati eccone uno in particolare che potrebbe farvi davvero cadere dalla sedia: provate ad aprire Google ed a scrivere nel campo di ricerca

lizamoon.com site:apple.com

Ebbene si, anche iTunes è caduto vittima di Lizamoon! Ci assicurano però da Apple che la minaccia è stata neutralizzata, e che nonostante la presenza del codice gli utenti non rischiano praticamente nulla.

Colui che ha architettato tutto ci ha saputo davvero fare: di attacchi combinati di questo genere ne abbiamo visti ben pochi nella storia di Internet!

Come fare per proteggervi? L’unica dritta che posso darvi è quella di tenere sempre attivo ed aggiornato il vostro software antivirus e, come al solito, stare attenti a ciò che visitate!