martedì 23 dicembre 2008

Hacking quotidiano 'pericoloso'

(post pubblicato dall'Italia)

Come sempre consiglio chi volesse visitare i links elencati ad utilizzare Firefox con Noscript attivo, possibilmente in SandBoxie e ancora meglio eseguito su macchina virtuale onde evitare spiacevoli problemi.

Ormai da parecchio tempo siamo abituati vedere quotidianamente on line siti anche .IT compromessi con l'inserimento in maniera nascosta di codice html oppure con la homepage, sostituita, da pagine contenenti testi ed immagini di solito riferiti all'hacking del sito colpito oppure con proclami di vario genere.

Normalmente , e fortunatamente, fino ad ora, si trattava comunque di hacking che portava, come unico problema, al blocco del sito colpito, ma molto spesso neanche a questo in quanto la pagina era inserita in maniera nascosta all'interno dello stesso.

Questa volta invece, ci troviamo di fronte ad un diverso genere di pagina, inserita all'interno della quasi totalita' di siti su IP di hoster italiano

che se in apparenza sembra una delle 'solite' pagine di haking che siamo abituati a vedere ogni giorno, in realta' e' ben diversa

Infatti questi siti .IT (report webscanner)

presentano la pagina

che ricalca come layout una delle tante di hacking gia' viste in passato

Esaminando pero' il sorgente abbiamo la sorpresa

Infatti all'interno del codice esiste uno script offuscato che deoffuscato presenta tutta la sua pericolosita'

Si tratta di exploit che, tra l'altro, tenta di scaricare eseguire questo file

hostato su sito francese e e che VT identifica come


Una analisi con Anubis conferma la pericolosita, del file che sembra tentare di connettersi a questo IP

che come si vede e' di medesima provenienza di chi ha effettuato l'hacking dei siti. visti ora.


Anche se al momento sembra un caso isolato, la compromissione in massa di questi siti IT con codice pericoloso, dimostra come la possibilita' che si passi da semplici pagine con proclami di varia natura a veri tentativi di colpire chi naviga in rete sia tutt'altro che remota e potrebbe estendersi facilmente in breve tempo ad altre pagine IT.

Edgar

Nessun commento: