Trend Micro Incorporated ha detectado un nuevo caso de espionaje web masivo en Italia, similar al que se llevó a cabo en junio de 2007 y que fue conocido como Italian Job, porque tuvo su punto de inicio en este país y se propagó a velocidades de vértigo infectando numerosos sitios web y a decenas de miles de usuarios de todo el mundo.

El nuevo ataque, bautizado como “Italian Job II”, afecta particularmente a las páginas web alojadas en Italia por un importante proveedor de hosting.

El dominio de los sitios puede ser de origen inglés, norteamericano, asiático o italiano, pero hasta ahora, todos los casos son de páginas en italiano y la mayoría tienen un dominio de esa nacionalidad.

Trend Micro ha descubierto dos formas utilizadas por los ciber-criminales para comprometer un site: una de ellas es inyectando un script oculto que redirecciona al usuario a determinadas URLs maliciosas, mientras que la segunda es mediante un iFRAME y el mismo script oculto.

Algunos ejemplos de los sitios comprometidos incluyen desde la página del club de fans de Johnny Depp, hasta el site de la banda de música Pearl Jam, el sitio oficial de la cantante de pop de los 80 Sabrina (Salerno), el de Monica Bellucci o el club italiano de Mercedes-Benz.

El usuario, cuando visita una página comprometida, es redireccionado sin tener conocimiento de ello, a uno de los dos sitios maliciosos. Ambos dominios contienen los mismos scripts maliciosos que descargan y ejecutan variantes de SINOWAL (solo para Windows). Los dos websites maliciosos están hospedados en una sola IP que se encuentra en San Diego (California). Trend Micro opina que en esta etapa los criminales que están detrás de este ataque pueden proceder de Europa Oriental.

De acuerdo con Raimud Genes, Director Técnico de Trend Micro, “este último ataque a páginas web italianas confirma que no hay ningún website susceptible de no ser atacado y pone de manifiesto que incluso los sites más desarrollados no están a salvo de sufrir una ataque. Esto es otro ejemplo de la astucia que los ciber-criminales emplean para embaucar a los usuarios y hacerles sus víctimas”.

Por su parte, Rick Ferguson de Trend Micro, apunta que “el objetivo de este último ataque masivo es infectar los sistemas del usuario final con el troyano SINOWAL, que permite el robo de contraseñas, y que fue diseñado de forma particular para hacerse con las credenciales de registro de los sitios bancarios. Estamos ante una etapa en la que las páginas web de prestigio están viendo como se pone en entredicho su reputación por los ataques de hackers, esto subraya la importancia de incorporar tecnologías de reputación web como medida de defensa”.

La tecnología de protección contra amenazas web de Trend Micro ha evitado el acceso a las páginas maliciosas desde el 27 de abril de 2008. Además, los usuarios ya están protegidos contra dos elementos del código malicioso que la segunda URL intenta descargar: TROJ_SINOWAL.C y BKDR_SINOWAL.CF. Trend Micro ha identificado el código JavaScript malicioso como JS_AFIR.A.

A todos los que actualmente visitan páginas web italianas se les recomienda tomar precauciones, y asegurarse de que su software de seguridad se encuentra actualizado.