mercoledì 31 marzo 2010

Siti it compromessi da torpig script; nuovi siti ed anche gia' colpiti su server Aruba, poi bonificati e che ritornano compromessi



I reports presentano questa volta in chiaro le urls dei siti coinvolti per permettere a chi li amministra e visitasse il blog di esserne informato e provvedere alla loro bonifica.

Ricordo che si tratta di script probabilmente attivi e quindi pericolosi e che vanno analizzati solo prendendo tutte le precauzioni del caso.(sandboxie, pc virtuale, noscript ecc....)

Mi pare inoltre utile riportare un avviso presente su www.malwaredomainlist.com che riassume i pericoli per chi visitasse i siti proposti NON essendo a conoscenza del problema :

WARNING: All domains on this website should be considered dangerous. If you do not know what you are doing here, it is recommended you leave right away. This website is a resource for security professionals and enthusiasts.

Il cui significato possiamo riassumere in

ATTENZIONE: Tutti i domini elencati nel presente post devono essere considerati pericolosi. Se non sai cosa stai facendo, evita di aprire le pagine linkate. Questo sito web e' una risorsa per i professionisti e gli appassionati di sicurezza Internet.
--------------------------------------------------------------------------------------------------

Sembra che la compromissione di siti IT attraverso l'inclusione di script offuscati malevoli del genere Torpig sia sempre presente.

Ecco ad esempio alcuni siti IT hostati su

che hanno incluso nella homepage codice javascript offuscato del genere Torpig

Si tratta sia di nomi di dominio acquisiti da elenchi aggiornati di siti compromessi presenti in rete , integrati con una scansione dei risultati di un reverse IP (che comunque potrebbe essere incompleto come elenco di url su quel server) attraverso il tool Webscanner.

ed anche

Questa una delle homepages colpite

dove possiamo notare il collegamento a Twitter utilizzato per generare un nome di dominio malevolo variabile come descritto in questo precedente post

Come possiamo notare, il nome di dominio generato a cui linkare chi visitasse il sito colpito, e' in linea con quello creato dal tool online http://www.unmaskparasites.com/security-tools/torpig-domain-generator.html

Per completezza c'e' da sottolineare che in percentuale il numero di siti con incluso il codice java Torpig sull'IP esaminato ora, rispetto al numero totale dei siti analizzati presenti nella lista di reverse IP, risulta estremamente basso (elenco di reverse IP composto da 4.608 indirizzi web per un totale di una decina di siti compromessi)

Prendiamo ora in esame segnalazioni Torpig precedenti:

Ricorderete senz'altro la notizia, a gennaio, della presenza su decine di siti compromessi hostati su server Aruba di un codice javascript offuscato (Torpig) ed anche del buon numero di siti compromessi rilevati in data 5 marzo (sempre IP Aruba) che facevano pensare ad un nuovo episodio di inclusione di codici pericolosi.

Una analisi odierna del medesimo elenco utilizzato il 5 marzo mostra un particolare risultato che vede i siti listati nel report precedente bonificati ma, in compenso, nuovi siti che parrebbero colpiti e che non risultavano nel report precedente.

Inoltre anche siti che erano presenti nei report a dicembre poi bonificati ritornano con lo script offuscato incluso nella home.

E' il caso ad esempio di harrdito(dot)it positivo a dicembre, poi risultato bonificato nell'analisi del 5 marzo e adesso nuovamente con script incluso

Una delle spiegazioni potrebbe essere quella di siti che bonificati ma nei quali una vulnerabilta' presente non e' stata adeguatamente risolta, nuovamente 'visitati' da chi pratica l'inclusione dei codici malevoli siano stati compromessi ancora una volta.

Edgar

Nessun commento: