Il ricercatore e giornalista Brian Krebs, un nome noto su queste pagine, ha scoperto che una botnet chiamata dai suoi creatori “Advanced Power” usava i PC infetti degli utenti per cercare siti web poco protetti e sfruttarne le vulnerabilità.
Il metodo di diffusione usato dal malware non è chiaro. Secondo il pannello di amministrazione della botnet, ben 12.500 PC risultano contagiati, ma non si sono trovate prove su come l’infezione sia giunta sin sui clienti.
Un tool complesso, efficace e molto ben pensato: i pirati informatici non vanno mai sottovalutati.
L’ipotesi più probabile è quella dell’ingegneria sociale: un sistema di mail e post su forum spingevano gli utenti a installare un plug-in di Firefox apparentemente legittimo che, a sua volta, si preoccupava di scaricare e installare un altro plug-in, dal nome “Microsoft .NET Framework Assistant”, che faceva il lavoro sporco.
Quando l’utente infetto si collegava a un sito web, il plug-in iniziava una procedura per testarlo a fondo, alla ricerca di vulnerabilità che permettessero di utilizzarne le risorse per i loschi scopi dei criminali.
Di solito, la scansione terminava con il rilevamento di una qualche falla di tipo SQL Injection che permetteva l’accesso al back end del sito per trasformarlo in un diffusore di virus, e con questo sistema sono state compromesse ben 1800 pagine.
Mozilla ha già provveduto a rimuovere il plug-in malevolo, che nulla aveva a che vedere con quest’altro strumento che porta lo stesso nome, ma l’occasione è buona per ricordare a tutti di tenere sempre attivi più livelli di protezione, in modo da evitar problemi anche se dovessimo distrarci un momento.