Con il termine “drive-by download” si definiscono tutti quei programmi che si insediano, in modo automatico, sul sistema dell’utente senza che questi abbia concesso la sua autorizzazione.

Questo genere di infezione si può verificare non appena l’utente visiti un sito web “maligno” utilizzando un sistema che non è stato opportunamente “messo in sicurezza” mediante la tempestiva applicazione delle patch via a via rese disponibili.

L’aggressore, sfruttando le vulnerabilità non sanate, insite nel browser o nel sistema operativo dell’utente, può così riuscire ad installare automaticamente dei programmi dannosi sulla macchina del “malcapitato”, semplicemente persuadendolo a visitare una pagina web allestita allo scopo.
Esistono molteplici espedienti per indurre l’incauto utente a visitare una pagina web “maligna”: solitamente, l’aggressore avvia delle campagne di spam inserendo, nel corpo del messaggio, testi simili ai seguenti: “C’è un video che ti interessa su YouTube“, “Hai ricevuto una cartolina d’auguri” oppure, ancora, “Grazie per il tuo ordine“. Cliccando sui link proposti, il browser viene condotto sulla pagina web dannosa.

Un altro metodo assai diffuso, consiste nel creare molte pagine web, linkate tra loro, contenenti migliaia di parole differenti. Tali pagine, una volta indicizzate da parte di Google, possono essere proposte tra i risultati delle interrogazioni che gli utenti effettuano sul motore di ricerca. Cliccando su uno dei link “maligni” che vengono proposti e visitando la pagina con un sistema non adeguatamente “patchato”, ecco che verrebbe automaticamente scaricato ed installato il malware.

Il terzo metodo impiegato per la distribuzione di malware consiste nello sfruttare vulnerabilità di siti web famosi e comunemente ritenuti fidati per insediare codice dannoso. L’attacco può concretizzarsi non solo mediante “SQL injection” ma anche sfruttando falle XSS (ved. questi post).

In alcuni casi, inoltre, circuiti di advertising poco controllati sono anch’essi stati oggetto di attacco. Maggiormente esposti sono risultati i circuiti aperti a tutti, dietro semplice attivazione di un account utente: gli aggressori sono riusciti a forzare l’inserimento di codice javascript dannoso avendo così l’opportunità di esporlo su siti web famosi e ad elevato traffico.

I malware “drive-by download” aggiungono un’altra pericolosa minaccia. Non è ormai più possibile, per un utente responsabile, difendersi da potenziali problematiche semplicemente stando alla larga da siti web nocivi (è noto come siti web che sviluppano i temi della pirateria, offrono materiale pornografico, informazioni sul gioco d’azzardo e sulle droghe siano quelli maggiormente “popolati” di malware). Oggi, anche i siti web assolutamente benigni possono diventare veicolo per la diffusione di malware.
La migliore difesa è, in primo luogo, conoscere il funzionamento delle possibili minacce e mantenere il sistema sempre aggiornato. In quest’ottica, assume un’importanza fondamentale l’installazione delle patch di sicurezza per il sistema operativo e per tutte le applicazioni in uso.

Tags: Drive-by download, exploit, Patch, Sicurezza, Vulnerabilità

Questo articolo è stato pubblicato mercoledì 2 aprile 2008 alle 10:57 e classificato in Safe. Puoi seguire i commenti a questo articolo tramite il feed RSS 2.0.

Puoi inviare un commento, o fare un trackback dal tuo sito.