giovedì 6 agosto 2009

Siti .IT compromessi, Koobface e la relativa Botnet

AVVISO IMPORTANTE!
Ricordo che anche se alcuni indirizzi IP e/o links sono lasciati in chiaro negli screenshot, si tratta di pagine che propongono eseguibili malware e che vanno visitate utilizzando possibilmente noscript attivato, sandboxie, ecc.....

Recentemente, in questo post, ho scritto al riguardo di numerosi siti tutti appartenenti a nota Associazione Italiana che presentavano incluse decine di pagine con relativo redirect su malware.

Per quanto si riferisce ai siti colpiti sembrerebbe da ieri compromesso anche quello relativo alla sede regionale del Friuli Venezia Giulia come si vede da questa ricerca in rete

Dato che da questa mattina, ora thai, il redirect risulta attivo, ho potuto esaminare in dettaglio sia il sistema di links adottato per redirigere sulla falsa pagina Facebook, i contenuti del falso setup(dot)exe ma anche la tipologia della botnet che distribuisce le false pagine.

Ecco la cronologia della connessione


che partendo dalla ricerca Google , e passando per una delle pagine incluse nel sito IT compromesso

giunge, tramite vari redirect, al sito ram-220709(dot)com che gestisce la distribuzione delle pagine tramite indirizzi IP variabili (botnet)


Analizzando setup(dot)exe possiamo rilevare che lo stesso , se eseguito, attiva diversi links tutti a files eseguibili , che analizzati con VT mostrano la loro pericolosita'

Ecco i dettagli:

tra cui rileviamo il noto TrojanProxy Koobface


A questo punto , visto che ad ogni esecuzione di ram-220709(dot)com si viene rediretti su differente IP, proviamo ad utilizzare uno script Autoit, per ciclare su detto indirizzo, e, dopo aver caricato la falsa pagina Facebook, acquisirne l'IP relativo

Ecco i risultati di una scansione dell'indirizzo ram-220709(dot)com per circa 40 minuti, che evidenzia come le pagine caricate siano sempre appartenenti a differenti IP di PC locati in diverse nazioni

e questo un dettaglio degli IP USA

Anche questa volta, come succedeva ad esempio anche per la Botnet Waledac ma in maniera ancora piu' marcata, abbiamo gli USA al primo posto come provenienza degli IP di PC compromessi, mentre questa e' una visualizzazione su Google Earth degli IP acquisiti realtivamente agli States:

Ricordo che la botnet Koobface , sulla base di una stima da parte della societa' di sicurezza Damballa , risulta in USA, al secondo posto dopo Zeus Botnet con una stima di 2,9 milioni di PC compromessi.(dettagli su questo post).

In effetti, i quasi 600 IP USA, rilevati dallo script, rispetto alla ventina del Canada, al secondo posto, confermano come una buona parte dei PC facenti parte della botnet siano locati in USA.

Edgar

Nessun commento: