giovedì 2 aprile 2009

Script offuscati malevoli su siti .IT

Si tratta di alcuni siti .IT che presentano, ad oggi, script offuscati inseriti nella homepage, che tentano di sfruttare vullnerabilita', che se non ancora corrette, sul pc che gli esegue portano all'attivazione di malware di vario genere.

Ricordo ancora una volta che pur avendo lasciato in chiaro gli indirizzi dei siti colpiti, per mettere sull'avviso chi volesse visitarli, consiglio di farlo solo con la massima attenzione, in quanto, almeno al momento di scrivere il post si tratta di links a pagine con exploits o comunque links a pagine che distribuiscono files malware tuttora attivi ed anche in alcuni casi scarsamente riconosciuti dai principali software Av, almeno per quanto si riferisce ad una scansione online VT.

Su MCAfee Site Advisor, troviamo questo sito italiano di azienda che si occupa di previsioni e servizi meteo che vediamo indicato come pericoloso da un utente Site Advisor, (dettaglio in questo screenshot)

In effetti al caricamento del sito

appare evidente

che esiste uno script che tenta di connettersi ad IP diverso da quello relativo al sito meteo ed abilitiando gli scripts ecco cosa succede

Esaminando il codice javascript offuscato presente nel source della pagina

e deoffuscandolo
otteniamo la conferma dell'IP utilizzato durante il caricamento della pagina

La pagina a cui punta l'IP contiene un nuovo script offuscato

e presenta whois a hoster dell'Est Europa

E da notare che se si ripete il caricamento della pagina, la seconda volta, come accade spesso , non viene eseguita alcuna operazione essendo volutamente caricato questo semplice script

Una analisi della pagina porta a rilevare la presenza di


mentre per quanto si riferisce all'eseguibile malware linkato

una analisi VT mostra


A questo punto una ricerca in rete permette di evidenziare ulteriori siti .IT che presentano lo stesso script visto sopra , inserito nel codice della homepage come ad esempio


ecco il source

ma anche

con il relativo source
Una ricerca su cache per analizzare sources dei medesimi siti, relativi a date precedenti ad oggi, dimostra la NON presenza del codice inserito, cosa che sembrerebbe dimostrare la recente compromissione degli stessi.

A questo punto eseguiamo anche alcune ricerche con webscanner sui medesimi IP dei server che hostano le pagine viste sopra e , come prevedibile, le sorprese non mancano, quando si esamina uno dei tanti range coinvolti.

Capita cosi ad esempio di trovare

il cui codice sorgente presenta javascript offuscato

che gia' una prima analisi con Wepawet dimostra essere di natura malevola

(forse in relazione con la campagna malware denominata Luckysploit)

Continuando con l'analisi dello script dopo una decodifica del codice offuscato

vediamo che si viene rediretti su questa pagina con whois

che ospita il seguente script che deoffuscato

risulta essere ancora una volta malevolo.
Ecco l'analisi, sempre eseguita con wepawet della pagina

e questo uno degli eseguibili caricati

Come si vede, continua sempre in maniera estesa, il tentativo di utilizzare codici offuscati, per attuare la diffusione di malware in maniera massiccia, ed anche su siti .IT.



Aggiornamento

Una analisi webscanner ha portato alla scoperta sempre su uno dei medesimi IP dei siti visti sopra, di alcune pagine con script offuscato simile come codice al precedente, che pero' al momento risulta puntare a pagina offline.

Edgar

Nessun commento: