Una ricerca in rete ha portato questa mattina (ora thai) ad individuare decine di siti IT, tra cui anche due appartenenti a P.A. Ligure (Comuni), che presentano evidenti tracce di compromissione a fini di 'Search engine poisoning'
Ecco un report parziale web-tree-scanner
che conferma quanto rilevato da una ricerca in rete
I codici php inclusi propongono questa pagina
che analizzata tramite Junspack evidenzia il seguente link
con script java a sito di fake scanner AV
hostato su server turco (anche nei giorni scorsi alcuni hoster turchi erano coinvolti nella distribuzione di fake AV)
Il file eseguibile proposto dal falso scanner online e' praticamente sconosciuto ad una analisi VT, anche se potrebbe trattarsi dell'ennesimo fake AV.(l'unico risultato presente in VT lo cataloga comunque come Heuristic Koobface)
Come accade spesso in questi casi il file eseguibile muta ad ogni download il codice per cercare di eludere il riconsocimento da parte dei softwares AV.Una analisi eseguita su singolo indirizzo web (uno dei siti comunali liguri coinvolti )
mostra che (prendendo come riferimento il TIME di indicizzazione dei risultati) si tratta di attacchi recenti, mentre questo e' un report che evidenzia come la totalita' dei siti coinvolti , parrebbe essere locata sul medesimo host ligure:
con whois 
Edgar
Nessun commento:
Posta un commento