Chiaramente, anche se vengono presi in considerazione i soli domini .IT il problema risulta esteso anche a siti appartenenti ad altri domini non solo italiani.
Come avevamo visto, in questo specifico caso prendiamo in considerazione quei codici aggiunti a siti internet che soffrono di vulnerabilita' riconducibili al sistema di gestione dei contenuti multipiattaforma, Plone, basato sul server per applicazioni web Zope.
Una prima tipologia di pagine e' costituita essenzialmente da questo giavascript offuscato
Questi alcuni dei siti che presentano lo script in questione
Come vediamo da una decodifica del codice esistono pagine con script simili ma con una leggera differenza sulla url risultante dalla decodifica
Una volta eseguito lo script , se e' la prima volta che viene richiamata la pagina si viene reindirizzati su di un sito contenente falsi player video che necessitano di plugin (file malware) per essere eseguiti
oppure se la pagina era gia' stata caricata altre volte (stesso IP rilevato) viene presentata questa pagina dalla url che ricorda il noto motore di ricerca
e che linka in automatico a diversi software antivirus fasulli.
Da notare che a seconda del codice inserito sullo script cambiano le pagine del falso scanner antimalware (es. XPA XPB XPC ecc...)
Il whois di queste pagine punta in Germania
Un altro tipo di pagine hostate all'interno dei siti attaccati e' questo, con script che presenta differenti valori numerici nel codice a seconda della pagina caricata
con un comportamento simile alle pagine viste in precedenza.
Questa un lista parziale dei siti coinvolti
Un whois di alcune di queste pagine linkate negli script punta a noto range di siti pericolosi
Ancora un altra tipologia di script in queste pagine
con script che se eseguito carica un altro script offuscato che decodificato punta a
Questa una lista parziale dei siti coinvolti
Tra le tante differenti pagine inserite e' interessante questa presente sul portale della cartografia della provincia di Brindisi riferito al Sistema Informativo Territoriale SIT
insieme ad altre pagine piu' o meno simili a quelle viste in precedenza
Se gli script java sono disabilitati possiamo vedere una pagina che presenta una falsa lista di mp3 scaricabili
Questa la pagina che ci propone lo scaricamento del file mp3 cliccando sul bottone 'download album'
chiaramente si tratta di un file eseguibile che ad una analisi Virus Total dimostra tutta la sua pericolosita'
Per concludere in questa schermata si puo' notare l'elevato numero dei risultati di una ricerca in rete relativamente a siti creati con Plone su domini .IT e che presentano un link con il riferimento al folder /portraits/ seguito da un nome inglese che indica la probabile pagina pericolosa aggiunta al sito.
Edgar
Come avevamo visto, in questo specifico caso prendiamo in considerazione quei codici aggiunti a siti internet che soffrono di vulnerabilita' riconducibili al sistema di gestione dei contenuti multipiattaforma, Plone, basato sul server per applicazioni web Zope.
Una prima tipologia di pagine e' costituita essenzialmente da questo giavascript offuscato
Questi alcuni dei siti che presentano lo script in questione
Come vediamo da una decodifica del codice esistono pagine con script simili ma con una leggera differenza sulla url risultante dalla decodifica
Una volta eseguito lo script , se e' la prima volta che viene richiamata la pagina si viene reindirizzati su di un sito contenente falsi player video che necessitano di plugin (file malware) per essere eseguiti
oppure se la pagina era gia' stata caricata altre volte (stesso IP rilevato) viene presentata questa pagina dalla url che ricorda il noto motore di ricerca
e che linka in automatico a diversi software antivirus fasulli.
Da notare che a seconda del codice inserito sullo script cambiano le pagine del falso scanner antimalware (es. XPA XPB XPC ecc...)
Il whois di queste pagine punta in Germania
Un altro tipo di pagine hostate all'interno dei siti attaccati e' questo, con script che presenta differenti valori numerici nel codice a seconda della pagina caricata
con un comportamento simile alle pagine viste in precedenza.
Questa un lista parziale dei siti coinvolti
Un whois di alcune di queste pagine linkate negli script punta a noto range di siti pericolosi
Ancora un altra tipologia di script in queste pagine
con script che se eseguito carica un altro script offuscato che decodificato punta a
Questa una lista parziale dei siti coinvolti
Tra le tante differenti pagine inserite e' interessante questa presente sul portale della cartografia della provincia di Brindisi riferito al Sistema Informativo Territoriale SIT
insieme ad altre pagine piu' o meno simili a quelle viste in precedenza
Se gli script java sono disabilitati possiamo vedere una pagina che presenta una falsa lista di mp3 scaricabili
Questa la pagina che ci propone lo scaricamento del file mp3 cliccando sul bottone 'download album'
chiaramente si tratta di un file eseguibile che ad una analisi Virus Total dimostra tutta la sua pericolosita'
Per concludere in questa schermata si puo' notare l'elevato numero dei risultati di una ricerca in rete relativamente a siti creati con Plone su domini .IT e che presentano un link con il riferimento al folder /portraits/ seguito da un nome inglese che indica la probabile pagina pericolosa aggiunta al sito.
Edgar
2 commenti:
edgar per quanto riguarda la pagina con sfondo nero che ha il falso videocodec, tu non lo puoi vedere perche' ti colleghi dall'estero ma chi ha un ip italiano si, ha in piu' il regalo di 2 iframe malevoli.La tua è la versione internazionale :-). I russi ci amano tanto che hanno per noi un trattamento speciale. Probabile che si tratti di dialer
Vedro' di cercare un po di proxies server italiani per 'simulare' una connessione dall'Italia.
In effetti essendo all'estero, si trovano a volte differenze su quello che si vede visitando siti malware
Il problema e'che, almeno da qui, trovare proxies server italiani, non trasparenti, e che funzionino non e' semplice :)
Posta un commento