AVVISO ! Ricordo, come sempre, che anche se i links sono in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc..
Continua “l'aggiornamento” dei siti IT compromessi hostati su servers UK con l'inclusione nascosta di pagine con layout simile a blog e links in automatico a siti che distribuiscono malware o falsi AV
Questa la pagina odierna inclusa su sito .IT
Da notare che il sistema di redirect automatico tramite script java e' spesso modificato quando viene inclusa una nuova pagina.
Sulla pagina 'aggiornata' vista ora abbiamo ad esempio un link a script java hostato su
che se eseguito redirige alternativamente a due siti di fake AV
(anche questa volta appare evidente un riconoscimento dell'IP di provenienza del visitatore che limita il numero di volte dell'esecuzione dello script)
Come curiosita' possiamo notare che interrogando la homepage dell'indirizzo web che ospita gli scripts abbiamo questo messaggio che tenta di evidenziare falsi problemi al sito in questione.
I due siti di fake AV con whois
propongono differente download di file eseguibile
sempre poco riconosciuto dai reali softwares AV relativamente ad una scansione VT (ricordando sempre i limiti di una scansione on-line on-demand)
Esaminando invece i risultati di una ricerca in rete abbiamo oggi anche la comparsa di un nuovo codice di pagina inclusa che questa volta e' leggermente diverso dal solito
Al momento la ricerca parrebbe segnalare siti hostati solo su range IP appartenente a singolo hoster IT
Una analisi dei risultati vede un discreto numero di siti
presentare una struttura dell'inclusione delle pagine come questa
Si tratta di centinaia di pagine su singolo sito.
L'inclusione presnta uno script java offuscato che decodificato evidenzia la creazione di iframe
contenente link a fake motore di ricerca che ricorda il layout di Google
mentre sulla pagina sono anche presenti links ad altre pagine simili sempre sul medesimo sito colpito
Al momento sembra che il fake motore di ricerca si limiti a linkare diversi siti anche su dominio CN senza la presenza di malware, ricordando comunque che, trattandosi di falso motore di ricerca, l'affidabilita' dei risultati proposti e' praticamente nulla.
Edgar
Continua “l'aggiornamento” dei siti IT compromessi hostati su servers UK con l'inclusione nascosta di pagine con layout simile a blog e links in automatico a siti che distribuiscono malware o falsi AV
Questa la pagina odierna inclusa su sito .IT
Da notare che il sistema di redirect automatico tramite script java e' spesso modificato quando viene inclusa una nuova pagina.Sulla pagina 'aggiornata' vista ora abbiamo ad esempio un link a script java hostato su
che se eseguito redirige alternativamente a due siti di fake AV
(anche questa volta appare evidente un riconoscimento dell'IP di provenienza del visitatore che limita il numero di volte dell'esecuzione dello script)Come curiosita' possiamo notare che interrogando la homepage dell'indirizzo web che ospita gli scripts abbiamo questo messaggio che tenta di evidenziare falsi problemi al sito in questione.
I due siti di fake AV con whois
propongono differente download di file eseguibile
sempre poco riconosciuto dai reali softwares AV relativamente ad una scansione VT (ricordando sempre i limiti di una scansione on-line on-demand)Esaminando invece i risultati di una ricerca in rete abbiamo oggi anche la comparsa di un nuovo codice di pagina inclusa che questa volta e' leggermente diverso dal solito
Al momento la ricerca parrebbe segnalare siti hostati solo su range IP appartenente a singolo hoster IT
Una analisi dei risultati vede un discreto numero di siti
presentare una struttura dell'inclusione delle pagine come questa
Si tratta di centinaia di pagine su singolo sito.L'inclusione presnta uno script java offuscato che decodificato evidenzia la creazione di iframe
contenente link a fake motore di ricerca che ricorda il layout di Google
mentre sulla pagina sono anche presenti links ad altre pagine simili sempre sul medesimo sito colpito
Al momento sembra che il fake motore di ricerca si limiti a linkare diversi siti anche su dominio CN senza la presenza di malware, ricordando comunque che, trattandosi di falso motore di ricerca, l'affidabilita' dei risultati proposti e' praticamente nulla.Edgar
Nessun commento:
Posta un commento