martedì 29 dicembre 2009

Twitter come supporto a Torpig Botnet e siti IT compromessi con javascript offuscato (agg.29/12)

Questo lo script offuscato, iniettato nella homepage

e di cui vediamo un dettaglio dei contenuti, dopo una analisi con Malzilla


Come si puo' notare dalla decodifica, risultano presenti due links a Twitter, che permettono di catalogare i codici inclusi come appartenenti alla distribuzione malware collegata a Torpig botnet.

Siamo infatti di fronte ad un particolare algoritmo che si basa sulle API (Application Programming Interface) di Twitter per generare nuovi nomi di dominio pseudo-casuali a cui reindirizzare i visitatori dei siti compromessi. (da rilevare che i nomi di dominio cosi creati possono cambiare anche due volte in una giornata) .
Il nuovo algoritmo utilizza sia la data corrente per generare il nuovo nome di dominio ma anche le tendenze di ricerca fornite da Twitter per generare un codice casuale.
Piu' precisamente, l'algoritmo richiama http://search.twitter.com/trends/weekly.json?................ (evidenziato in giallo nel source deoffuscato) che restituisce un oggetto (file JSON) contente le tendenze per le ricerche su Twitter, organizzate per data.

Partendo da questi dati viene calcolato il novo nome di dominio da utilizzare per la distribuzione del malware. (Maggiori dettagli sia su blog.unmaskparasites.com che su http://www.cs.ucsb.edu/~seclab/projects/torpig/index.html )

Inoltre, questa e' una applicazione online che , sfruttando appunto le API Twitter , genera i nomi di dominio pseudo-casuali attraverso lo stesso algoritmo usato nella distribuzione del malware Torpig.

Attualmente una scansione con Webscanner dei sources delle homepage di siti su noto hoster italiano

ne vede alcuni ospitare lo script offuscato visto ora:


Questa invece la homepage di un sito IT che tratta di archeologia (url presente nel report)

e dove possiamo notare, abilitando gli script, il link a Twitter, che attiva la creazione del nome di dominio pericoloso.(che termina con le lettere TWE (vedi note))
Anche se un link diretto al sito di cui e' stato generato il nome, non evidenzia nulla di particolare, c'e' da osservare che l'indirizzo termina con le lettere TWE, particolare che denota un nome di sito generato nel mese di dicembre e quindi recente.

Note:
Questo un elenco con il dettaglio delle 3 lettere finali nell'indirizzo web, creato dal file java malevolo (fonte http://blog.unmaskparasites.com/) con le tre lettere che cambiano a seconda del mese in cui il nome di dominio viene generato.

uno – January
dve – February
thr – March
fir- April
vif – May
xes – June
ves – July
ght – August
eni – September
etn – October
lev – November
twe – December (es. il sito visto in dettaglio nel post)

Edgar

Nessun commento: