AVVISO ! Ricordo, come sempre, che anche se i links sono in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc...
Si tratta DI SCRIPTS ATTUALMENTE ATTIVI.
Si tratta DI SCRIPTS ATTUALMENTE ATTIVI.
Ricorderete senz'altro la notizia, a gennaio, della presenza su decine di siti compromessi hostati su server Aruba di un codice javascript offuscato malevolo.
Eseguendo oggi 5 marzo una analisi su un elenco di siti su servers Aruba, compromessi in passato, ecco cosa succede
(N.B. l estensione .txt e' aggiunta in automatico dal tool Autoit Webscanner)Questo un dettaglio degli IP di provenienza
Tutti questi siti presentano nuovamente un codice javascript offuscato del medesimo tipo visto in passato, con link a Torpig DomainQuesti ulteriori altri siti su diverso IP con il medesimo problema
su IP
Una analisi di uno a caso, dei siti in elenco
presenta la tipica struttura del codice java offuscato
con attiva la funzione che sfruttando una connessione a Twitter, genera il nome del dominio Torpig attivo al momento
cosa che viene confermata dall'utility online Torpig Domain Generator”
Un whois attuale del dominio Torpig punta a
e
Edgar
Nessun commento:
Posta un commento