giovedì 31 luglio 2008

Aggiornamento sui siti .IT con falso player Flash

Nota importante: al momento di scrivere il post i siti citati sono tutti online e con malware ed eventuali exploits attivi. Massima cautela quindi se si vuole visitare i link presentati.

Continua la presenza in rete di siti .IT contenenti una pagina nascosta con il link ad un falso aggiornamento flash player


Dalle ultime ricerche in rete sembra anzi che il numero di siti colpiti sia in leggero aumento.

In ogni caso, come gia' successo per i recenti attacchi di sql injection, alcuni di questi siti, evidentemente sui quali non si e' provveduto a eliminare la vulnerabilita' presente, appaiono ripetutamente compromessi con l'aggiunta di piu' codici di pagina pericolosa.
E' il caso ad esempio di risasnc(dot)it che presenta ben 3 pagine aggiunte al suo interno.
Questi i 3 sorgenti relativi alle 3 pagine:



Tra l'altro, nel temtativo di rendere piu' pericoloso il contenuto della pagina, si nota come in una delle tre e' ora presente, oltre al falso player flash anche un iframe nascosto che contiene link a pagina con codice exploit di vario genere che sfrutta vulnerabilita' di players audio e video

Come si nota la pagina e' sempre inserita all'interno del sito colpito

Questo un report eseguito sui risultati di una ricerca in rete; in giallo i siti con la pagina che ospita anche l'iframe con exploit


Per quanto si riferisce al falso player Flash l'eseguibile presente in queste 3 pagine risulta lo stesso (file eseguibile sempre ospitato sul sito colpito) e, come sempre in questi casi, ben poco riconosciuto dai piu' noti softwares antivirus

Chiaramente il problema di queste pagine con falsi player flash non e' limitato a siti .IT ma coinvolge una grande quantita' di siti in rete come si puo vedere effettuando una ricerca ed i links a queste pagine nascoste sono sempre effettuati tramite mails di spam che riportano i piu svariati argomenti per incuriosire chi le riceve e indurlo a cliccare sul collegamento alla falsa pagina con malware.

Sembra quindi che il tipo di attacco miri a creare il maggior numero di siti contenti la pagina con il falso player e relativi links in mails di spam e per avere una certa efficacia il numero di siti colpiti debba continuamente essere aggiornato ed incrementato.
Infatti essendo, sia il sorgente della pagina che l'eseguibile malware, ospitati entrambi sul sito compromesso non e' possibile, per chi gestisce l'attacco, aggiornare i codici malware su server remoto ed in continuo come succede ad esempio per le false pagine youtube con player video malware (zlob e varianti).

Precedenti post sullo stesso argomento:

Watch Free Movie - Update Every Hour!

Aggiornamento falso flash player e siti .IT colpiti

'iPhone 3G' e 'New relevations about September 11th conspiracy'

Edgar

mercoledì 30 luglio 2008

False pagine di avviso Google con links a falsi antivirus

Su www.matchent.com/wpress blog (al momento offline) viene riportata la presenza in rete di una pagina che simula un falso avviso Google riferito ad una possibile malware sul nostro computer.

Diamo una occhiata un poco piu approfondita a quello che ci propone la falsa pagina
.
In realta', si scopre subito che non si tratta di una sola pagina che riporta un layout simie ad un avviso Google ma di decine.

Qui vediamo un folder che

a sua volta ospita una decina di subfolder


ognuno dei quali contiene un certo numero di pagine web che presentano il falso avviso

Sembra che la differenza esistente tra le varie pagine a seconda del folder che le contiene sia il diverso contenuto di link al loro interno, che comunque non vengono visualizzati in quanto il 'font style ' del testo e' impostato in maniera tale da renderlo invisibile


Eliminando parte del codice sulla pagina web la possiamo infatti visualizzarne interamente il contenuto.

A questo punto se cklicchiamo su uno dei collegamenti presenti viene eseguito un script java

che utilizza il referrer della pagina di provenienza


Come si vede l'url che risulta linka ad un server che ospita un falso antivirus e questa url seleziona il 'modello' del falso software attraverso la presenza di un codice che, ad esempio, nel caso di product = XPA porta al caricamento del noto AV2009

mentre con product = XPC abbiamo il caricamento di una pagina di falso scanner per la ricerca di possibili contenuti 'illegali' sul nostro pc.


La pagina del falso scanner che e' disponibile anche con differente layout


Il file eseguibile scaricato da sito e' in realta'

e tra l'altro anche non molto riconosciuto dai software Av (circa il 50%)

Come curiosita' si puo notare che se si accede al dominio che fa parte della url che carica i falsi antivirus abbiamo visualizzata questa pagina

dove il link refs.txt punta ad un elenco in formato txt di centiania di urls , forse generate in automatico leggendo i referrers di chi si connette al sito.

L'accesso invece al dominio presente nello script iniziale punta a questo 'particolare' sito dove sono presenti una notevole quantita' di link alfabetici che in cascata linkano a pagine che ospitano parte di codice Youtube con riferimenti all'argomento del link.

Chiaramente cliaccando i link presenti sui video si riceve un errore di pagina non trovata.
In pratica ci troviamo di fronte a codice di pagine Youtbe copiato ed inserito in numerose pagine fittizie probabilmente utilizzate attraverso l'uso di falsi links.

Come si vede continua in rete la presenza sia di pagine fasulle di tutti i generi che tentano di replicare siti noti e che, sempre piu' spesso, propongono falsi software antivirus, antispyware ecc...

Edgar

martedì 29 luglio 2008

“FBI vs FaceBook”, nuova pagina StormWorm.

Nuovo layout per le pagine web distribuite dalla nota botnet StormWorm

che ipotizza un interessamento dell FBI a Facebook.

Il source della pagina e' ancora piu semplice delle precedenti non utilizzando nessun iframe con reindirizzamento ad exploits come le volte scorse.


Sono presenti solo 2 semplici links al file eseguibile fbi_facebook.exe il cui download viene proposto in automatico, aprendo la pagina, oppure cliccando sul link presente.

Il file eseguibile e' come al solito poco riconosciuto (8/35) dai softwares antivirus

Il links alle pagine e' reso possibile dall'invio di mails di spam di cui vediamo alcuni testi:

F.B.I. may strike Facebook
The FBI’s plan to “profile” Facebook
F.B.I. busts alleged Facebook
Get Facebook’s F.B.I. Files
F.B.I. are spying on your Facebook profiles
F.B.I. watching you

Edgar

'iPhone 3G' e 'New relevations about September 11th conspiracy'

Cosa mettano in comune i due argomenti del titolo e' presto detto; si tratta di oggetto e testo di una mail di spam ricevuta oggi e collegata al falso setup Flash player inserito su siti compromessi di cui ho scritto su precedenti post.

L'oggetto porta infatti

“ SUSPECT: iPhone 3G bugs causes recall of stock “

mentre il testo del messaggio , molto breve, porta un riferimento a :

'New relevations about September 11th conspiracy discoveredl'

ossia ci sarebbero nuove rivelazioni circa la presunta cospirazione legata all'11 settembre.

Come si vede sia l'oggetto che il messaggio cercano, seppur con diversi argomenti , di incuriosire chi riceve la mail per fargli seguire il link presente che porta a siti compromessi, anche .IT, di cui avevo dato notizia nei precedenti post.
Se si clicca sul link in mail (questo sito compromesso presenta ad esempio whois in Corea) abbiamo l'apertura della pagina con link a malware


Come si vede meglio , con gli script bloccati da Noscript, abbiamo la presenza di iframe nascosto

contenente il seguente exploit


che sfrutta varie vulnerabilita' tra cui alcune di player audio e video

La pagina invece presenta un codice che simula un falso problema al player Flash (qui vediamo una videata con gli scripts sul browser attivati)


Notare che il titolo della pagina “Watch Free Movie - Update Every Hour!“ e' abbastanza anonimo e quindi si adatta abbastanza bene a qualsiasi argomento trattato.

Il download proposto in automatico o se si clicca sul falso box di allerta e' un file eseguibile che contiene malware.
Una ricerca attuale con Google ci mostra ancora siti .IT compromessi dall'inserimento del falso player flash e relativa pagina
Da quanto si puo' rilevare anche consultando la rete, le mails ricevute presentano una notevole quantita' di differenti oggetti e testi tutti con lo scopo di incuriosire chi le riceve per fargli eseguire il setup del falso player
Inoltre il nome del file html di riferimento nel link cambia abbastanza spesso, confermando che il tentativo di diffondere malware e' tuttora esteso, molto attivo e pericoloso.

Edgar

lunedì 28 luglio 2008

Hacking quotidiano 28 luglio

Una certa quantita' di siti su

presentano la homepage sostituita con


ed ecco il report

ed in misura minore alcune homepages sostituite con

ed ecco il relativo report:


Come al solito non sembrerebbero presenti codici malevoli ma solo una pagina con testo e immagini.
In ogni caso gli attacchi dimostrano, un possibile problema di vulnerabilita' che potrebbe essere sfruttato per scopi ben piu' pericolosi (vedi ad esempio le recenti pagine con malware aggiunte a siti anche .IT)

Edgar

Aggiornamenti malware ZLOB e forum collegati (prima parte)

Molte volte la ricerca di nuove varianti di malware che simula codecs o setup di video players che tentano di colpire utenti della rete italiani , porta, come una delle fonti privilegiate, la consultazione di forum web.

Lascia comunque piuttosto perplessi il fatto che i forum che vedremo linkare a malware, in genere varianti del noto ZLOB, siano comunque collegati a siti di una certa importanza o comunque appartenenti ad aziende conosciute.
In ogni caso si tratta di links aggiunti al forum tutti in data attuale, aggiornati costantemente e come si vede in quantita' notevole.

Il primo preso in esame e' il forum in italiano collegato ad una nota azienda leader a livello mondiale della fornitura di apparati di networking.

Ecco una pagina indice, che presenta come argomento dei post 'files video'.

Questo un esempio di uno dei post presenti (con data attuale)


che ospita oltre al testo costituito da frasi o parole tali da comparire in una ricerca in rete relativa al genere porno anche centinaia di foto tutte che linkano a pagina che propone a sua volta un falso file di setup player video di cui vediamo un report virus total.

Notare come anche in questo caso una analisi consecutiva effettuata in tempi diversi mostra sempre un differente contenuto del codice malware per aumentarne la probabilita'di NON essere riconosciuto dai softwares antivirus.
Solo 9 su 35 softwares riconoscono il file come pericoloso

Questo un whois del sito di falsi filmati


Il secondo forum, anche questo collegato a sito sicuramente conosciuto, riporta una serie di post, tutti aggiornati ad oggi, con simili contenuti.


Ecco un esempio di post

In questo caso cliccando ad esempio su una delle centinaia di foto presenti in ogni singolo post si viene reindirizzati su questo sito (probabilmente uno dei soliti blog fasulli)


che , se l'esecuzione degli script sul browser e' attivata, non viene comunque visualizzato in quanto e' presente uno script offuscato


che reindirizza su falso sito di video di natura porno che linka a falso setup di player video.

A differenza del forum precedente la pagina con il falso setup mostra un whois che punta a

mentre anche in questo caso il file malware viene sempre 'scaricato' , come per il precedente forum da hoster USA ben noto a chi si interessa di malware.


Come si vede si tratta di una pratica , piu' che mai attuale, e che sembra possa essere utilizzata senza grossi problemi anche su forum di siti noti e non solo su forum appartenenti a siti meno conosciuti, in quanto probabilmente, non viene posta, anche per siti di una certa importanza, molta attenzione nell'amministrare i forum presenti.

Edgar

domenica 27 luglio 2008

Aggiornamento falso flash player e siti .IT colpiti

Ed ecco la conferma di quanto ipotizzato nel precedente post e cioe' l'invio di migliaia di mails di spam dai piu diversi contenuti dell'oggetto


ma che portano tutte links alle pagine aggiunte ai siti compromessi viste in precedenza


La percentuale di siti .IT colpiti sembra abbastanza elevata

Edgar

sabato 26 luglio 2008

Watch Free Movie - Update Every Hour!

Una ricerca in rete mostra , anche con risultati riferiti a qualche ora fa', una notevole quantita' di siti tra cui alcuni .IT che attraverso una pagina inserita all'interno degli stessi , propongono il download di un falso player flash.


Questa una ricerca su domini IT dove si vede chiaramente che alcune risultati sono delle ultime ore


I nomi del folder inserito nel sito colpito risulta come live.html, video.html, watch.html ecc ...

Esaminiamo brevemente la pagina che viene inserita all'interno del sito web compromesso
Questo il risultato quando l esecuzione degli script java e' attivata nel browser

Il file flash .exe e' pochissimo riconosciuto dai softwares antivirus presenti su VT


Come si vede abbiamo la presenza di iframes nascosti

ed una volta attivati gli script la pagina stabilisce una connessione

su ip



Tra l'altro sembra che ci troviamo di fronte ad una azione di inserimento pagine con malware abbastanza estesa in quanto esaminando altri risultati proposti dal motore di ricerca non solo abbiamo differente hoster italiano ma anche un diverso file player sia come nome di file

che come rilevamento da parte dei softwares AV di VT


In pratica potremmo trovarci di fronte ad una medesima tipologia di attacco (il falso player flash) ma attuata forse da soggetti diversi e comunque con l'uso di diversi files malware e differenze sui files ospitati a volte solo sul sito colpito

mentre in altri casi, su diverso server (links a script in alcuni casi esterni al server stesso)

Vedremo nelle prossime ore se ci sara' una ulteriore espansione di questo genere di attacchi osservando comunque che una ricerca senza filtrare i domini .IT porta al momento a piu' di 330.000 links molti dei quali puntano a pagina con falso player flash.

Aggiornamento

Se le indicazioni fornite dal motore di ricerca sono attendibili parrebbe continuare o comunque essere molto recente, anche su siti .IT, l'inserimento di nuove pagine contenenti il falso flash player
Questo e', ad esempio, il risultato di ricerca che mostra un aggiornamento del link (da circa un'ora) e che carica una pagina con falso player e malware.

Questo un parziale report solo su siti .IT

Eseguendo il report senza filtrare per dominio .IT i siti la quantita' di quelli che presentano la pagina aggiunta con falso palyer e' elevata


L'uso del tool ha permesso di isolare alcuni nomi del falso installer o player flash

e questa una analisi VT di uno degli eseguibili non verificato nel precedente post


Ed ecco la struttura di uno dei siti colpiti dove si nota la pagina aggiunta

Il fatto che si tratti comunque di pagine nascoste a chi visita il sito che le ospita indica che le stesse potrebbero essere utilizzate linkandole attraverso collegamenti che compaiano su altre pagine, forums ecc.. od al limite su mails di spam come gia visto altre volte.

Edgar