In precedenza si era verificata la presenza di numerose pagine su dominio datasport.it che presentavano il messaggio “hacked by RedRolix .......” e concludendo il post scrivevo:
“........... l'analisi de codice sorgente delle pagine colpite non rivela altri problemi a parte la scritta di hacking il che fa pensare che si tratti solo di una azione dimostrativa come avviane quotidianamente su parecchi siti anche .IT ..............Rimane comunque la gravita' del fatto in quanto dimostra una vulnerabilita' dei siti o dei server che li ospitano che potrebbe essere sfruttata per azioni ben piu' pericolose. (redirect a malware, pagine con exploit ecc...) .......”
In effetti sta succedendo proprio questo e sia Datasport che altri domini sempre ad esso collega sul medesimo ip hostano adesso pericolosi scirpt che linkano a malware ma non solo
Ecco un report eseguito con webscanner:
dove si vede la grande quantita' di script presenti su varie url tutte collegate a datasport (questa volta nascosti nel codice e non visibili nel layout della pagina) e questo il sorgente di una pagina
Per quanto si riferisce al codice dello script
oltre al pericoloso link a pagina con explot abbiamo il link ad un sito antimalware fasullo che, ad aumentare il pericolo, se ce ne fosse bisogno, a differenza dei siti di rogue applications questa volta, anche lui, distribuisce malware e non semplice applicazione fasulla.
Questo il report VT
Quello che sorprende dell'attacco e' la grande quantita' di nomi diversi di pagine a cui puntano gli scripts (probabile asprox botnet con pagine che sfruttano fastflux) e comunque e' quasi certo che datasport non sara' l'unico dominio attaccato ma sicuramente anche altri siti .IT subiranno medesima sorte.
Aggiornamento 17.14
Sembra che adesso Datasport sia OFFline forse per la probabile bonifca delle pagine colpite'
Questo un elenco degli scripts presenti sulle pagine colpite
che presenta analogie con il contenuto della ultima lista fastflux su malwaredomains.com
Aggiornamento 06 giugno ore 8.30 AM Thai (3.30 AM Italia)
Sono ancora presenti scripts su alcune pagine per un totale di 176 codici pericolosi.
Aggiornamento 06 giugno ore 15.30 AM Thai (10.30 AM Italia)
Sembra che il numero di scripts presenti sia ancora abbastanza elevato
Ecco un recente report:
Edgar
2 commenti:
sembrerebbe che abbiano bonificato tutto il portale
Rimane sullo stesso IP sportmoviestv con centinaia di scripts tra cui un bannerupd.com che sembra abbastanza nuovo come dominio
Posta un commento