mercoledì 23 dicembre 2009

Nuovo attacco a siti .IT hostati su servers UK attraverso l'inclusione di falsi blog

AVVISO ! Ricordo, come sempre, che anche se alcuni links sono lasciati in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc....) !!!!

Da una attuale ricerca in rete sembrerebbe ripetersi ancora una volta un attacco a siti, anche IT, hostati su servers UK.

La tipologia di questa inclusione di pagine con layout simile a blog, ricorda molto da vicino, quella del mese di settembre 2009 che vedeva, anche in quel caso, coinvolti decine di siti IT. ( si tratta sempre del medesimo hoster della volta scorsa, con whois UK)

Una ricerca in rete odierna

porta infatti a scoprire diversi siti .IT , hostati su

oppure

o comunque IP sempre riferiti a questo hoster UK. (si tratta del medesimo hoster del precedente caso 'bmblog') e che attualmente., e da poche ore, presentano una serie di pagine incluse dal layout simile a blog


ed anche

od ancora

e
Questo un dettaglio della pagina completa del falso blog

Come avviene in questi casi le immagini dei falsi blogs sono proposte linkando quelle presenti su siti legittimi (blogs, siti di gallerie di foto ......)

Queste pagine contengono inoltre diversi links (una cinquantina) sempre allo stesso sito compromesso,

ma a differenti pagine incluse nello stesso, ed alcuni links a javascript (cammuffati da codice di counter) hostati su diversi indirizzi con whois USA (che parrebbero comunque tutti hostati sul medesimo server.)
I codici javascripts linkati sono responsabili del successivo redirect:


Tra l'altro tentando di visualizzare la homepage dell'indirizzo web che ospita i diversi codici java si riceve questa risposta abbastanza singolare.

L'esecuzione di questi script porta ad un sito con whois tedesco che a sua volta punta ad esempio a questo ennesimo fake scanner AV

sempre con eseguibile poco visto da una scansione VT

In alternativa si viene rediretti su falso sito simile a Youtube ed anche su falsi motori di ricerca.

In tutti i casi visti sopra , i siti intermedi (sia quelli che ospitano gli scripts che quello che effettua il successivo redir) eseguono una verifica dell'Ip di provenienza bloccando il caricamento delle pagine se si accede piu' volte con il medesimo IP.

Vedremo se nelle prossime ore l'inclusione di queste pagine di falso blog si estendera' anche ad altri siti, come gia successo in passato.

Lo scopo di queste pagine nascoste e' sempre il solito, e cioe' distribuire il maggior numero di links in rete (attraverso risultati di ricerche in rete) , relativamente a falsi Av, malware, e siti di dubbia affidabilita'.

Edgar

Nessun commento: