martedì 26 gennaio 2010

Siti compromessi con script offuscato su servers Aruba (aggiornamento)

AVVISO ! Ricordo, come sempre, che anche se alcuni links sono in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc...
Si tratta DI SCRIPTS ATTUALMENTE ATTIVI E PERICOLOSI.

A qualche giorno del massiccio attacco a siti IT tramite inclusione di codice javascript offuscato malevolo, la cui notizia e' apparsa in rete su forum o siti che si occupano di sicurezza internet, ecco un aggiornamento sulla situazione attuale .

Questo un report Webscanner eseguito alle ore 18 (ora thai) del 26/01 (le 12 ora italiana) che dimostra come ci sia un buon numero di siti , hostati su servers Aruba, che presentano, a distanza di qualche giorno, il codice java incluso.

Da notare alcuni siti che presentano 2 o 3 inclusioni del medesimo codice nella stessa pagina.

Parrebbe comunque trattarsi di script simile ( notare l'uso delle API di Twitter evidente nel codice deoffuscato) a quello gia' visto altre volte, ad esempio a fine anno, su diversi siti hostati propio su Aruba,

e di cui scrivevo in questo post'
Quando lo script viene eseguito, attiva, come conseguenza l'indicazione della possibile connessione a Twitter, se si esamina in dettaglio uno dei tanti siti colpiti.


Questo il report del 29 dicembre 2009 , che quella volta era stato pubblicato offuscato, come appare invece in chiaro,

cosa che dimostra che si tratta di un attacco gia' attivo da tempo.

Attualmente sto effettuando con Webscanner una scansione completa del range IP 62.149.130.1 - 254 per verificare il numero complessivo di siti che presentassero ancora lo script offuscato malevolo.
Gia' ora si puo' comunque vedere che alcuni siti trovati non erano presenti nel precedente report, cosa che potrebbe voler dire che il loro numero e' rilevante.

Notate che, ancora una volta, si tratta di nomi di siti gia' rilevati a dicembre 2009.

Lo script tenta di scaricare tramite redirect ad exploit un malware che installa MBR Rootkit sul pc.

Edgar

2 commenti:

Aniello ha detto...

Aruba ci ha segnalato che tutti i siti sono stati bonificati sul loro server,puoi verificare se realmente è cosi ? Grazie

Unknown ha detto...

No. Non sono stati bonificati tutti

xxx.actarus.it ha ancora lo script funzionante

C'è una lista su pcalsicuro con molti ancora non bonificati

Aruba è ridicola