MySpace Quicktime Worm

Venerdì primo Dicembre, il sito di social networking MySpace è stato infettato da un worm autoreplicante scritto in Ajax e JavaScript classico. Questo worm infetta i profili degli utente, pubblicizza materiale pornografico e lancia degli attacchi di phishing per rubare username e password agli utenti del network.

MySpace permette ai propri utenti di inserire fimati e altri contenuti multimediali all’interno del proprio profilo. I filmati creati con tecnologia Apple Quicktime supportano una caratteristica chiamata “HREF tracks”, che permette di inserire URL all’interno del filmato stesso. Gli attaccanti hanno creato filmati Quicktime con all’interno Javascript creato ad ad hoc, in modo che al momento dell’apertura esso venisse eseguito.
Quando un utente visualizza la pagina contenente un filmato malizioso, il codice JavaScript al suo interno scarica ed esegue il codice dell’intero worm. Successivamente, il worm utilizza codice Ajax per infettare il profilo dell’utente senza che esso se ne accorga. In più, il worm, inietta codice HTML in modo da poter alterare, non nel look, il menu principale di MySpace. Quando l’utente fa click su un link presente nel menù contraffatto esso viene rediretto verso un sito di phishing che riproduce la maschera di login a MySpace. In questo modo gli autori del worm cercano di rubare username e password degli utenti di MySpace. Come ultima cosa il worm tenta di inviare messaggi instantanei, a utenti di MySpace, contenenti immagini pornografiche e link a siti pornografici. Questi messaggi vengono inviati a 4 utenti a caso di MySpace.

Per maggiori dettagli consiglio la lettura dello studio condotto da SPI Dynamics sul worm che ha interessato MySpace negli ultimimi giorni. SPI ha anche pubblicato i sorgenti del worm scritto in Ajax.
Per maggiori dettagli si vedano anche le advisory sulla manipolazione del menu principale di MySpace e sull’uso di codice JavaScript all’interno di filmati QuickTime.

 

Nessun Commento.. Puoi essere il primo!

Lascia un Commento