domenica 3 gennaio 2010

Inclusione di codici di pagina all'interno di siti IT compromessi

AVVISO ! Ricordo, come sempre, che anche se i links sono in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc....) !!!!
Si tratta molto spesso di exploits e files eseguibili malware, poco riconosciuti dai software AV in commercio

Iniziamo l'anno 2010 con questa inclusione di codici html all'interno di sito IT che, per i numeri delle pagine proposte, e' sicuramente notevole.

Una ricerca in rete porta infatti a trovare un migliaio di pagine incluse da poche ore

con questo layout e con relativo script offuscato che effettua il redirect.


La struttura del sito risultante da una ricerca con script Autoit presenta analogie con situazioni simili gia' viste in passato

Anche questa volta, appare chiaro che lo scopo della presenza di queste pagine e' la diffusione di links a falsi scanners AV (considerata da molti, come una delle maggiori attivita' illecite che vedremo in rete anche nel corso del 2010).



Il fake scanner online proposto, a parte il consueto layout, ormai un standard per questo genere di pagine, tenta di far scaricare ed eseguire un file praticamente sconosciuto ad una scansione VT.

Inoltre, come gia' successo in passato, esistono sullo stesso server altre due alternative al layout di pagina, una che ricalca il clone porno di Youtube ed una che simula un falso player video, entrambe visionabili solo modificando l'indirizzo URL.




Un reverse IP su quello del sito con range maltese che propone il fake AV dimostra che sullo stesso IP sono presenti svariati indirizzi URL tutti con un nome che ricorda il software AV.

Se si tenta di eseguire lo script offuscato, ma con IP es. THAI, in questo caso il fake Av non viene proposto, ma in alternativa si viene rediretti su altri siti,

alcuni dei quali sempre sul medesimo IP del falso scanner AV.

Edgar

Nessun commento: