domenica 25 dicembre 2011

E-Cards natalizie pericolose. Alcun ulteriori dettagli (24 dicembre)

Una ricerca in rete porta a trovare alcuni siti compromessi IT che attualmente ospitano una pagina E-Card come quella vista nel precedente post.

Andando ad esaminare gli headers della connessione web relativi alle pagine di fake E-Card su siti con whois IT troviamo

ed in un altro caso

Prendendo per attendibile l'header indicante l'ultima modifica effettuata possiamo notare data recente che vedrebbe il probabile upload della pagina.
Si tratta in entrambi i casi del 22 dicembre cosa che confermerebbe un attacco attuale.

La cosa piu' interessante e' che una ricerca Google porta a trovare un sito USA con struttura di folder simile alle precedenti viste nei casi IT e che mostra identica pagina.(stessa immagine, testo....)


La particolarita' sta nella data proposta dagli headers che parrebbe far risalire detta pagina al 23 aprile 2011, datando un simile layout come presente da molto in rete.
In effetti una analisi Wepawet

conferma la data del 23 aprile come quella di una analisi della pagina stessa ed e quindi altamente probabile che gia' in tale data avevamo on-line un layout che e' stato 'riciclato' per le odierne fake E-Cards.

Ma c'e' di piu'; analizzando in data odierna la pagina attualmente online (probabilmente a partire da Aprile 2011) otteniamo

Appare evidente che i codici presenti rivelino un BlackHole exploit ed come un certo numero di indirizzi web attuali, indicati nel report, linki sempre a script offuscato:

ed anche


Edgar

Nessun commento: