Questa una ricerca su domini IT dove si vede chiaramente che alcune risultati sono delle ultime ore
I nomi del folder inserito nel sito colpito risulta come live.html, video.html, watch.html ecc ...
Esaminiamo brevemente la pagina che viene inserita all'interno del sito web compromesso
Questo il risultato quando l esecuzione degli script java e' attivata nel browser
Il file flash .exe e' pochissimo riconosciuto dai softwares antivirus presenti su VT
Come si vede abbiamo la presenza di iframes nascosti
ed una volta attivati gli script la pagina stabilisce una connessione
su ip
Tra l'altro sembra che ci troviamo di fronte ad una azione di inserimento pagine con malware abbastanza estesa in quanto esaminando altri risultati proposti dal motore di ricerca non solo abbiamo differente hoster italiano ma anche un diverso file player sia come nome di file
che come rilevamento da parte dei softwares AV di VT
In pratica potremmo trovarci di fronte ad una medesima tipologia di attacco (il falso player flash) ma attuata forse da soggetti diversi e comunque con l'uso di diversi files malware e differenze sui files ospitati a volte solo sul sito colpito
mentre in altri casi, su diverso server (links a script in alcuni casi esterni al server stesso)Vedremo nelle prossime ore se ci sara' una ulteriore espansione di questo genere di attacchi osservando comunque che una ricerca senza filtrare i domini .IT porta al momento a piu' di 330.000 links molti dei quali puntano a pagina con falso player flash.
Aggiornamento
Se le indicazioni fornite dal motore di ricerca sono attendibili parrebbe continuare o comunque essere molto recente, anche su siti .IT, l'inserimento di nuove pagine contenenti il falso flash player
Questo e', ad esempio, il risultato di ricerca che mostra un aggiornamento del link (da circa un'ora) e che carica una pagina con falso player e malware.
Questo un parziale report solo su siti .IT
Eseguendo il report senza filtrare per dominio .IT i siti la quantita' di quelli che presentano la pagina aggiunta con falso palyer e' elevata
L'uso del tool ha permesso di isolare alcuni nomi del falso installer o player flash
e questa una analisi VT di uno degli eseguibili non verificato nel precedente post
Ed ecco la struttura di uno dei siti colpiti dove si nota la pagina aggiunta
Il fatto che si tratti comunque di pagine nascoste a chi visita il sito che le ospita indica che le stesse potrebbero essere utilizzate linkandole attraverso collegamenti che compaiano su altre pagine, forums ecc.. od al limite su mails di spam come gia visto altre volte.Edgar
Nessun commento:
Posta un commento