giovedì 9 aprile 2009

Compromesso sito FIAT Singapore

Ricordo ancora una volta che pur avendo lasciato in chiaro i vari links, sconsiglio di visitarli a meno che non si siano prese tutte le misure del caso (NOscript attivo, pc virtuale, sandbox ecc....) in quanto, almeno al momento di scrivere il post, si tratta di links ad exploits o comunque links a pagine che distribuiscono files malware tuttora attivi ed anche in alcuni casi scarsamente riconosciuti dai principali software Av, almeno per quanto si riferisce ad una scansione online VT.

Websense Security Labs
ha scoperto che il sito ufficiale della Fiat Singapore e' stato compromesso

Vediamo qualche dettaglio andando a visitare il sito che attualmente presenta infatti l'iframe che linka a malware.

Questa la homepage del sito della nota casa automobilistica italiana che come vediamo gia' dall'avviso di NOSCRIPT

presenta il seguente codice di iframe nascosto

che punta dopo un redirect (questo il log)

a questa pagina con whois

Anche in questo caso il tentativo di accedere piu' volte alla pagina linkata porta alla non visualizzazione dei contenuti malware dopo la prima volta che la si visita (riconoscimento dell'IP di chi carica la pagina)
Questo il source della pagina

che come vediamo contiene riferimenti a files sia pdf che swf in realta'

ed anche

Questa una analisi piu' dettagliata del file PDF

Tra gli altri files malware successivamente linkati abbiamo anche

Ecco un dettaglio di alcuni dei files presenti

Anche questa volta dovrebbe trattarsi di codice maligno che sfrutta il noto e diffuso Luckysploit kit.

Edgar

Nessun commento: