Attacco a MySQL.com

Il sito MySQL.com, utilizzato come repository da molti siti web, è stato attaccato da un cracker che ha inserito uno script che redireziona i visitatori verso un sito sfruttato per distribuire malware. Il problema è stato risolto velocemente, ma le credenziali di accesso sono state vendute su un forum russo per una cifra di 3.000 dollari.

La scoperta è stata fatta dall’azienda di sicurezza Armorize. Lo script JavaScript “iniettato” sul sito MySQL.com genera un iFrame che redireziona i visitatori verso un sito creato ad hoc. Su questo sito è stato installato il BlackHole exploit pack, un tool che cerca automaticamente tutte le vulnerabilità note dei browser e dei plugin. Dopo aver trovato un bug nel software, viene installato un malware sul PC dell’utente. Non si conosce il funzionamento esatto del malware, ma attualmente solo il 9% degli antivirus è in grado di individuarlo.

Il numero di visitatori infettati dal malware potrebbe essere molto elevato, considerando che MySQL.com viene visitato da circa 12 milioni di utenti al mese. Wayne Huang, Chief Executive di Armorize, ha dichiarato di non conoscere i danni che il malware può provocare, ma è certo che l’infezione sarà molto difficile da rimuovere, dato che modifica alcuni file DLL di Windows e viene eseguito ad ogni avvio del sistema operativo.

JavaScript è un linguaggio di scripting molto utilizzato nei siti web. Brian Krebs del blog Krebs on Security sottolinea l’ironia dell’attacco: l’azienda proprietaria di MySQL.com è Oracle, che è anche proprietaria di Java, un linguaggio di programmazione più complesso di JavaScript, ma con una sintassi simile.