Ricordo ancora una volta che pur avendo lasciato in chiaro gli indirizzi dei siti colpiti, per mettere sull'avviso chi volesse visitarli, consiglio di farlo solo con la massima attenzione, in quanto, almeno al momento di scrivere il post si tratta di links a pagine con exploits o comunque links a pagine che distribuiscono files malware tuttora attivi ed anche in alcuni casi scarsamente riconosciuti dai principali software Av, almeno per quanto si riferisce ad una scansione online VT.
Su MCAfee Site Advisor, troviamo questo sito italiano di azienda che si occupa di previsioni e servizi meteo che vediamo indicato come pericoloso da un utente Site Advisor, (dettaglio in questo screenshot)
In effetti al caricamento del sito
appare evidente
che esiste uno script che tenta di connettersi ad IP diverso da quello relativo al sito meteo ed abilitiando gli scripts ecco cosa succede
Esaminando il codice javascript offuscato presente nel source della pagina
e deoffuscandolo
otteniamo la conferma dell'IP utilizzato durante il caricamento della pagina
La pagina a cui punta l'IP contiene un nuovo script offuscato
e presenta whois a hoster dell'Est Europa
E da notare che se si ripete il caricamento della pagina, la seconda volta, come accade spesso , non viene eseguita alcuna operazione essendo volutamente caricato questo semplice script
Una analisi della pagina porta a rilevare la presenza di
mentre per quanto si riferisce all'eseguibile malware linkato
una analisi VT mostra
A questo punto una ricerca in rete permette di evidenziare ulteriori siti .IT che presentano lo stesso script visto sopra , inserito nel codice della homepage come ad esempio
ecco il source
ma anche
con il relativo source
Una ricerca su cache per analizzare sources dei medesimi siti, relativi a date precedenti ad oggi, dimostra la NON presenza del codice inserito, cosa che sembrerebbe dimostrare la recente compromissione degli stessi.
A questo punto eseguiamo anche alcune ricerche con webscanner sui medesimi IP dei server che hostano le pagine viste sopra e , come prevedibile, le sorprese non mancano, quando si esamina uno dei tanti range coinvolti.
Capita cosi ad esempio di trovare
il cui codice sorgente presenta javascript offuscato
che gia' una prima analisi con Wepawet dimostra essere di natura malevola
(forse in relazione con la campagna malware denominata Luckysploit)
Continuando con l'analisi dello script dopo una decodifica del codice offuscato
vediamo che si viene rediretti su questa pagina con whois
che ospita il seguente script che deoffuscato
risulta essere ancora una volta malevolo.
Ecco l'analisi, sempre eseguita con wepawet della pagina
e questo uno degli eseguibili caricati
Come si vede, continua sempre in maniera estesa, il tentativo di utilizzare codici offuscati, per attuare la diffusione di malware in maniera massiccia, ed anche su siti .IT.
Aggiornamento
Nessun commento:
Posta un commento