mercoledì 6 gennaio 2010

Ancora siti IT compromessi (agg.06 gennaio)

AVVISO ! Ricordo, come sempre, che anche se i links sono in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc....) !!!!
Si tratta molto spesso di files eseguibili malware, poco riconosciuti dai software AV in commercio

Che la pratica di includere codici che propongono pagine simili a blog, all'interno di siti legittimi, sia ormai estremamente diffusa, lo si puo' verificare dai risultati di alcuni report eseguiti con un tool Autoit che visualizza la struttura dei siti coinvolti.

Come succede spesso, vi sono alcune stringhe di caratteri comuni a tutte le pagine dei falsi blog inclusi, che ne permettono una ricerca in maniera selettiva (solo i siti compromessi).

Ecco un primo report

che evidenzia la presenza di siti IT con pagine incluse, in data recente.

Lo stesso report, visualizzando solo i siti con folders ad indirizzo numerico, ne evidenzia il buon numero.

Ecco una ricerca con diversa stringa di caratteri, che permette di trovare ulteriori siti compromessi, sempre in data molto recente (fine 2009)


e lo stesso report con solo evidenziati i siti con i folders che contengono le decine di pagine di fake blog.


Naturalmente se analizziamo qualche pagina tra quelle trovate


ma anche


abbiamo , nei casi specifici visti ora, un redirect su sito con IP appartenente a range

che si presenta come “il solito e arcinoto” fake youtube dai contenuti porno (in realta solo immagini statiche )

che tenta di far scaricare ed eseguire un falso file flash praticamente sconosciuto ad una analisi VT


(tenendo sempre in considerazione i noti limiti che questa comporta sul fatto di rivelare il file come pericoloso (possibili diverse risposte dei softwares Av se eseguiti sulla macchina colpita e non in un ambiente ON-line))


Come gia' accaduto in passato, questo genere di inclusioni di pagine, non crea mmediato pericolo per chi vista i siti colpiti, essendo i codici inclusi invisibili non solo agli utenti ma quasi sempre nascosti anche a chi i siti li dovrebbe amministrare.(ci sono siti con pagine incluse da molti mesi e con links perfettamente attivi e che puntano a pagine online)

In ogni caso questa situazione oltre a evidenziare la presenza di vulnerabilita' per decine di siti anche .IT , favorisce le probabilita', per chi effettua una ricerca in rete di essere rediretto su siti pericolosi o quantomeno poco affidabili.

Da notare inoltre la cura con cui vengono aggiornati i codici dei file eseguibili linkati dai falsi player flash (eseguibili che mutano ad intervalli molto brevi per eludere le analisi AV) ) ed anche il fatto che si usino siti intermedi per effettuare un redirect e consentire di variare in tempo reale il sito finale su cui si viene linkati.


Collegata a questa pratica di diffusione di links pericolosi a falsi AV ma anche malware sembra essere molto attiva anche la distribuzione di links a siti di pharmacy (viagra e derivati ecc...) che, di solito. preferisce piu' che includere intere pagine nascoste, inserire i links a pharmacy direttamente all'interno del codice che costituisce le pagine web del sito colpito (a volte resi visibili solo in presenza di un User Agent particolare quale quello di un bot di motore di ricerca) e che vedremo in un prossimo post di aggiornamento.

Edgar

Nessun commento: