giovedì 8 maggio 2008

Plone , Zope e siti italiani compromessi. (seconda parte)

Diamo una occhiata piu' da vicino ai layout di pagine che attualmente sono presenti come 'add-ons” non voluti su alcuni siti .IT.
Chiaramente, anche se vengono presi in considerazione i soli domini .IT il problema risulta esteso anche a siti appartenenti ad altri domini non solo italiani.

Come avevamo visto, in questo specifico caso prendiamo in considerazione quei codici aggiunti a siti internet che soffrono di vulnerabilita' riconducibili al sistema di gestione dei contenuti multipiattaforma, Plone, basato sul server per applicazioni web Zope.

Una prima tipologia di pagine e' costituita essenzialmente da questo giavascript offuscato

Questi alcuni dei siti che presentano lo script in questione


Come vediamo da una decodifica del codice esistono pagine con script simili ma con una leggera differenza sulla url risultante dalla decodifica

Una volta eseguito lo script , se e' la prima volta che viene richiamata la pagina si viene reindirizzati su di un sito contenente falsi player video che necessitano di plugin (file malware) per essere eseguiti


oppure se la pagina era gia' stata caricata altre volte (stesso IP rilevato) viene presentata questa pagina dalla url che ricorda il noto motore di ricerca


e che linka in automatico a diversi software antivirus fasulli.

Da notare che a seconda del codice inserito sullo script cambiano le pagine del falso scanner antimalware (es. XPA XPB XPC ecc...)


Il whois di queste pagine punta in Germania

Un altro tipo di pagine hostate all'interno dei siti attaccati e' questo, con script che presenta differenti valori numerici nel codice a seconda della pagina caricata


con un comportamento simile alle pagine viste in precedenza.
Questa un lista parziale dei siti coinvolti


Un whois di alcune di queste pagine linkate negli script punta a noto range di siti pericolosi


Ancora un altra tipologia di script in queste pagine

con script che se eseguito carica un altro script offuscato che decodificato punta a


Questa una lista parziale dei siti coinvolti



Tra le tante differenti pagine inserite e' interessante questa presente sul portale della cartografia della provincia di Brindisi riferito al Sistema Informativo Territoriale SIT

insieme ad altre pagine piu' o meno simili a quelle viste in precedenza

Se gli script java sono disabilitati possiamo vedere una pagina che presenta una falsa lista di mp3 scaricabili


Questa la pagina che ci propone lo scaricamento del file mp3 cliccando sul bottone 'download album'

chiaramente si tratta di un file eseguibile che ad una analisi Virus Total dimostra tutta la sua pericolosita'


Per concludere in questa schermata si puo' notare l'elevato numero dei risultati di una ricerca in rete relativamente a siti creati con Plone su domini .IT e che presentano un link con il riferimento al folder /portraits/ seguito da un nome inglese che indica la probabile pagina pericolosa aggiunta al sito.


Edgar

2 commenti:

maverick ha detto...

edgar per quanto riguarda la pagina con sfondo nero che ha il falso videocodec, tu non lo puoi vedere perche' ti colleghi dall'estero ma chi ha un ip italiano si, ha in piu' il regalo di 2 iframe malevoli.La tua è la versione internazionale :-). I russi ci amano tanto che hanno per noi un trattamento speciale. Probabile che si tratti di dialer

Edgar Bangkok ha detto...

Vedro' di cercare un po di proxies server italiani per 'simulare' una connessione dall'Italia.
In effetti essendo all'estero, si trovano a volte differenze su quello che si vede visitando siti malware
Il problema e'che, almeno da qui, trovare proxies server italiani, non trasparenti, e che funzionino non e' semplice :)