giovedì 5 giugno 2008

Sito Datasport. Ora sono scripts pericolosi - Aggiornamenti 6/06

Juninho85 mi segnala che il portale italiano di sport Datasport presenta segni di un nuovo attacco di hacking ma questa volta di gran lunga piu' pericoloso dell'attacco di qualche giorno fa'

In precedenza si era verificata la presenza di numerose pagine su dominio datasport.it che presentavano il messaggio “hacked by RedRolix .......” e concludendo il post scrivevo:
“........... l'analisi de codice sorgente delle pagine colpite non rivela altri problemi a parte la scritta di hacking il che fa pensare che si tratti solo di una azione dimostrativa come avviane quotidianamente su parecchi siti anche .IT ..............Rimane comunque la gravita' del fatto in quanto dimostra una vulnerabilita' dei siti o dei server che li ospitano che potrebbe essere sfruttata per azioni ben piu' pericolose. (redirect a malware, pagine con exploit ecc...) .......”
In effetti sta succedendo proprio questo e sia Datasport che altri domini sempre ad esso collega sul medesimo ip hostano adesso pericolosi scirpt che linkano a malware ma non solo
Ecco un report eseguito con webscanner:


dove si vede la grande quantita' di script presenti su varie url tutte collegate a datasport (questa volta nascosti nel codice e non visibili nel layout della pagina) e questo il sorgente di una pagina

Per quanto si riferisce al codice dello script

oltre al pericoloso link a pagina con explot abbiamo il link ad un sito antimalware fasullo che, ad aumentare il pericolo, se ce ne fosse bisogno, a differenza dei siti di rogue applications questa volta, anche lui, distribuisce malware e non semplice applicazione fasulla.



Questo il report VT


Quello che sorprende dell'attacco e' la grande quantita' di nomi diversi di pagine a cui puntano gli scripts (probabile asprox botnet con pagine che sfruttano fastflux) e comunque e' quasi certo che datasport non sara' l'unico dominio attaccato ma sicuramente anche altri siti .IT subiranno medesima sorte.


Aggiornamento 17.14

Sembra che adesso Datasport sia OFFline forse per la probabile bonifca delle pagine colpite'

Questo un elenco degli scripts presenti sulle pagine colpite

che presenta analogie con il contenuto della ultima lista fastflux su malwaredomains.com


Aggiornamento 06 giugno ore 8.30 AM Thai (3.30 AM Italia)

Sono ancora presenti scripts su alcune pagine per un totale di 176 codici pericolosi.



Aggiornamento 06 giugno ore 15.30 AM Thai (10.30 AM Italia)

Sembra che il numero di scripts presenti sia ancora abbastanza elevato
Ecco un recente report:

Edgar

2 commenti:

Juninho85 ha detto...

sembrerebbe che abbiano bonificato tutto il portale

Edgar Bangkok ha detto...

Rimane sullo stesso IP sportmoviestv con centinaia di scripts tra cui un bannerupd.com che sembra abbastanza nuovo come dominio