domenica 17 febbraio 2008

Sembrava solo un caso isolato .......... invece ! Siti A.P. compromessi

Anche nell'ultimo post avevo avanzato la possibilita' che ci trovassimo di fronte a siti di Amministrazione Pubblica. compromessi in buon numero da malware ed ora mi sembra che ci siano tutte le conferme che si tratta realmente non di un singolo caso isolato ma di decine di siti che hostano pagine con link a malware all'insaputa di chi li gestisce.
In pratica il sito A.P. e' un tramite tra la ricerca internet e le pagine pericolose, cioe' contiene al suo interno i codici che automaticamente ci portano su siti pericolosi quando tramite una ricerca (es Google) clicchiamo sul riultato; il sito A.P. infatti non presenta per chi lo visita evidenti collegamenti al malware

Continuando nelle ricerche, una volta compresa la chiave per trovare queste pagine pericolose ed i siti che le hostano e' stato relativamente semplice rilevare i codici pericolosi e le relative pagine che li contengono.

Il problema adesso, se mai, sarebbe avvisare chi gestisce questi siti della situazione abbastanza particolare in cui si trovano ma non mi pare semplice per diversi motivi: in primo luogo si tratta non di uno ma di parecchi siti ed inoltre conoscendo come funziona la gestione di queste pagine web nell'amministrazione pubblica non credo sia facile che gli avvertimenti inviati vengano presi in seria considerazione (ad esempio le mails inviate per avvisare del pericolo esistente i siti che ho analizzato precedentemente sono , come pensavo, rimaste semza risposta e il malware continua ad essere hostato nelle pagine)

Dopo questa premessa abbiamo da analizzare un altro caso:

Questa volta si tratta di Comune toscano : Lastra a Signa


Riporto il whois del sito per maggiore completezza.


Qui vedete alcuni risultati di una ricerca eseguita con differente tool rispetto ad una normale ricerca attraverso web page


che comunque viene confermata da una normale ricerca web che ancora una volta ci informa del contenuto pericoloso hostato all'interno del sito

Accedendo a questo link, se gli script sono bloccati (noscript in Firefox), possiamo vedere il seguente codice in parte offuscato

questa e' la decodifica del codice


e questo il risultato quando eseguito


una pagina con bottone GO che praticamente non viene visualizzata in quanto si passa direttamente

al sito porno di falsi video che come di consueto propone il caricamento del software utile alla visualizzazione

che si dimostra un malware poco conosciuto agli antivirus.


Dalle ricerche che sto continuando pare che ci troviamo di fronte a decine di siti in questa situazione e probabilmente non solo di Amministrazione Pubblica ma probabilmente anche con altre tipologie di contenuti.

Continua

Edgar





Nessun commento: