Quelli che vedremo oggi sono 2 casi 'particolari' di siti IT compromessi.
Il primo riguarda un buon numero di siti compromessi
hostati su
e con pagina di hacking sia in sostituzione della homepage
e
ma anche inclusa come questo caso
dove pero' notiamo anche la presenza di un link a
Come si vede, vengono proposti alcuni collegamenti a download di file in formato compresso rar
contenente differenti files eseguibili che esaminati con VT dimostrano tutti essere
Particolare il fatto che una pagina di hacking che normalmente si limita solo a proclami di varia natura proponga anche malware, malware che anche se visto da praticamente tutti i piu' diffusi softwares AV vede alcuni casi come quello di NOD32, non rilevare la minaccia. (sempre tenendo conto dei limiti di una scansione online on-demand ossia differenti possibili risposte quando il software AV fosse in esecuzione sul PC colpito)
Il secondo caso vede compromesso un sito gov.it che tratta di Amministrazione Pubblica e qualita' dei servizi offerti.
La presenza di pagine con layout alterato e su siti gov.it e' cosa non comune in quanto raramente siti su dominio governativo IT (gov.it) risultano presentare segni di attacchi.
Per completezza c'e' comunque da dire che le pagine che vedremo sono solo raggiungibili tramite ricerca in rete e che il sito in questione e' hostato non su server dedicato a siti gov italiani ma su server di hoster ligure
peraltro gia' vittima in passato di attacchi.
Il sito sembra essere sviluppato con l'utilizzo di TYPO3 (Web content management system pensato per l'amministrazione di siti web. E' scritto completamente in PHP, basato su una banca dati gestita con MySQL. Fonte Wikipedia)
Vediamo i dettagli:
Questa la struttura del sito relativamente a centinaia di codici inclusi
e
che propongono questo layout di pagina
Ecco un dettaglio del top della pagina con layout alterato
Dai contenuti si puo' presumere che l'attacco sia stato portato per includere links a vendita di software di dubbia provenienza (prezzi scontati di dieci o spesso venti volte quelli di mercato. Come gia' visto in passato si tratta spesso di versioni OEM di software come windows7 … photoshop ecc....)
La pagina che viene proposta da centinaia di risultati Google in realta' mostra nella parte bassa la consueta struttura del sito reale cosa che fa pensare piuttosto ad un attacco riuscito a meta'.
In pratica l'inclusione di testo e links sul sito gov.it ha portato solo ad una alterazione dei layout originale e non al funzionamento del redirect su sito di vendita software.
La conferma e' questa ricerca Google che ci mostra molti siti , anche non IT, che presentano la stessa struttura dell'URL e che, 'correttamente compromessi' linkano al sito di vendita software.
E' il caso ad esempio di questo sito di Hotel parigino con incluse pagine dall'indirizzo identico a quelle incluse sul sito gov.it
che propongono in maniera automatica
a conferma del sito di vendita software online e gia' visto in passato come layout.
Edgar
Il primo riguarda un buon numero di siti compromessi
hostati su
e con pagina di hacking sia in sostituzione della homepage
e
ma anche inclusa come questo caso
dove pero' notiamo anche la presenza di un link a
Come si vede, vengono proposti alcuni collegamenti a download di file in formato compresso rar
contenente differenti files eseguibili che esaminati con VT dimostrano tutti essere
Particolare il fatto che una pagina di hacking che normalmente si limita solo a proclami di varia natura proponga anche malware, malware che anche se visto da praticamente tutti i piu' diffusi softwares AV vede alcuni casi come quello di NOD32, non rilevare la minaccia. (sempre tenendo conto dei limiti di una scansione online on-demand ossia differenti possibili risposte quando il software AV fosse in esecuzione sul PC colpito)
Il secondo caso vede compromesso un sito gov.it che tratta di Amministrazione Pubblica e qualita' dei servizi offerti.
La presenza di pagine con layout alterato e su siti gov.it e' cosa non comune in quanto raramente siti su dominio governativo IT (gov.it) risultano presentare segni di attacchi.
Per completezza c'e' comunque da dire che le pagine che vedremo sono solo raggiungibili tramite ricerca in rete e che il sito in questione e' hostato non su server dedicato a siti gov italiani ma su server di hoster ligure
peraltro gia' vittima in passato di attacchi.
Il sito sembra essere sviluppato con l'utilizzo di TYPO3 (Web content management system pensato per l'amministrazione di siti web. E' scritto completamente in PHP, basato su una banca dati gestita con MySQL. Fonte Wikipedia)
Vediamo i dettagli:
Questa la struttura del sito relativamente a centinaia di codici inclusi
e
che propongono questo layout di pagina
Ecco un dettaglio del top della pagina con layout alterato
Dai contenuti si puo' presumere che l'attacco sia stato portato per includere links a vendita di software di dubbia provenienza (prezzi scontati di dieci o spesso venti volte quelli di mercato. Come gia' visto in passato si tratta spesso di versioni OEM di software come windows7 … photoshop ecc....)
La pagina che viene proposta da centinaia di risultati Google in realta' mostra nella parte bassa la consueta struttura del sito reale cosa che fa pensare piuttosto ad un attacco riuscito a meta'.
In pratica l'inclusione di testo e links sul sito gov.it ha portato solo ad una alterazione dei layout originale e non al funzionamento del redirect su sito di vendita software.
La conferma e' questa ricerca Google che ci mostra molti siti , anche non IT, che presentano la stessa struttura dell'URL e che, 'correttamente compromessi' linkano al sito di vendita software.
E' il caso ad esempio di questo sito di Hotel parigino con incluse pagine dall'indirizzo identico a quelle incluse sul sito gov.it
che propongono in maniera automatica
a conferma del sito di vendita software online e gia' visto in passato come layout.
Edgar
Nessun commento:
Posta un commento