giovedì 11 marzo 2010

Siti IT compromessi con pagine incluse. Alcuni dettagli e links ad exploits attivi

AVVISO ! Ricordo, come sempre, che anche se i links sono in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc..

Sempre molto alta, in questi ultimi giorni, l'inclusione di codice all'interno di siti IT compromessi.

Una attuale ricerca mostra sia siti gia' precedentemente colpiti, che vengono 'aggiornati' con nuovi codici inclusi, sia nuovi siti che da poche ore, sono entrati a far parte del lungo elenco di quelli compromessi ogni giorno.

I fini di questa costante sequenza di attacchi e' sempre quello di generare, come vedremo dall'esempio seguente, un numero notevole di links ad ogni sorta di malware e falsi AV, quando si effettua una ricerca in rete.

In pratica si tratta di includere, all'interno del sito compromesso, decine o centinaia di pagine nascoste che contengano parole chiave rilevanti ai fini della indicizzazione da parte dei motori di ricerca ed inserire all'interno delle pagine nascoste un link automatico a quello che si vuole distribuire (malware , falsi AV ecc...)

Effettuando una ricerca in rete avremo cosi' che nei risultati, compariranno ai primi posti decine di links, tutti rigorosamente a pagine, nascoste e con script di redirect offuscato, hostate sui piu' diversi domini

(tra cui naturalmente anche su dominio .IT)

Se a questo punto filtriamo la ricerca solo per siti .IT

ne troviamo in buon numero e , ancora piu' importante, 'aggiornati' da qualche ora.

Restringendo la ricerca per uno a caso dei siti .IT trovati ,

abbiamo la conferma delle centinaia di codici inclusi e nascosti, che eseguono il loro lavoro perfettamente, proponendoci (se l'esecuzione degli script java e disabilitata nel browser usato) pagine come questa

ricche di testo con i riferimenti che il motore di ricerca ha indicizzato e con uno script automatico a siti, che in genere, redirigono sul sito pericoloso.

Dato che pero', di norma l'esecuzione degli script e' attiva, non vedremo la pagina inclusa, ma direttamente verremo portati sul sito finale scelto da chi gestisce questi attacchi.

Per quanto si riferisce ai contenuti proposti analizziamo proprio un sito IT presente nella ricerca vista ora

Questa la homepage


Si tratta di sito IT hostato su

Queste le centinaia di pagine nascoste, come vengono viste da una analisi della struttura del sito che presenta numerose directory create allo scopo


ed in dettaglio

Provando a seguire i link proposti dallo script java offuscato presente nelle pagine abbiamo diverse possibilita':

Ad esempio questa pagina di fake scanner AV online

che distribuisce un eseguibile visto da una analisi VT come:

Dovrebbe trattarsi anche questa volta di probabile fake AV ma non mancano certo risultati decisamente piu' pericolosi

Ripetendo infatti l'interrogazione del link generato dallo script java, come succede spesso quando il link finale e' gestito da siti di redirect intermedio, abbiamo invece questa pagina su dominio .RU ma hostata al momento su IP tedesco che contiene tutto l'occorrente per compromettere il PC di chi la visitasse

Come possiamo notare sono presenti codici di exploit tra cui vulnerabilita' adobe


anche abbastanza recenti
Uno degli exploit parrebbe sfruttare una vulnerabilita' java supportata da una immagine gif creata allo scopo:

Esaminando infatti il file bio.gif scaricato dal sito ecco i risultati di una analisi VT

E' quindi chiaro che,anche se per chi visita i siti colpiti da questi attacchi, non esiste al momento pericolo in quanto pagine nascoste, per chi naviga in rete queste inclusioni risultano comunque pericolose, in quanto supporto alla diffusione di falsi AV e spesso, come visto oggi, anche di exploit e relativo malware.

Edgar

Nessun commento: