mercoledì 7 novembre 2007

yl18.net mass defacement

Da alcune news apparse in rete sembrerebbe che migliaia di siti (si parla di 40.000 pagine) sarebbero stati compromessi recentemente da una injection di codice javascript malevolo.
Lo script = "hXXp: / / yl 18.net/0.js" farebbe puntare le pagine al sito yl18.net.
Questo il banner del sito

con whois

Lo script caricherebbe una pagina contenente diversi componenti Iframe nascosti con exploit specifico a seconda dei browser utilizzato.

In effetti se andiamo a ricercare con Google la stringa di testo script_src = hxxp: // www.yl18.net/0.js troviamo centinaia di riferimenti a siti che presumibilmente contengono o contenevano lo script malevolo.

Proviamo a vedere cosa succede caricando lo script dal sito yl 18.net


Come si vede viene caricata la pagina 0.html dal server che ospita yl18.

Questa pagina contiene a sua volta un completo assortimento di exploits a seconda del browser usato.
Questi sono i differenti iframe con i codici 'personalizzati'.

Provando a scaricare un eseguibile esempio dal codice per Opera browser abbiamo un file riconosciuto in parte come trojan psw win32 online games

La copertura degli antivirus in lista Virus Total e' di circa il 50%.
Dovrebbe trattarsi di un trojan che cerca di catturare password usate in giochi online.
Presumo che altri eseguibili simili a questo vengano scaricati dagli altri exploits presenti e programmati per sfruttare le vulnerabilita' dei diversi browser.

Il prblema di questi attacchi e' evidente se si pensa che nonostante gli sforzi per ridurre le vulnerabilita' di server che ospitano siti web, il numero di pagine compromesse aumenta costantemente.

Al momento il dominio yl18.net risulta on line e continua ad hostare anche lo script pericoloso mentre alcune pagine che ho visitato e che google riporta come compromesse sembrerebbero essere state bonificate. (si puo solo trovare lo script esaminando il sorgente delle pagine contenute nella cache di google).

Edgar

Nessun commento: