Non e' una novita', ma si continuano comunque a trovare on-line siti compromessi, anche IT, con varie tipologie di codici inclusi che linkano a malware tra cui questo interessante script ancora probabilmente legato alla distribuzione malware nota come BlackHole.
Ecco il codice offuscato
attualmente presente sito IT
Una volta de-offuscato
il codice mostra una serie di funzioni che, nonostante appaia in evidenza il nome 'random' , servono a generare una URL non casuale ma diversa a seconda dell'orario e del giorno rilevati sul PC.
In particolare si tratta di nomi di urls che variando nel tempo offrono a chi vuole linkare al malware l'opportunita' di nascondere meglio la destinazione finale a cui redirigere chi eseguisse lo script accedendo alla pagina colpita ed evitare eventuale blacklist.
Ecco ad esempio l'output modificando leggermente lo script in modo da visualizzare l'URL pseudo-random generata.
Ricercando in rete si trovano anche delle liste di urls create con evidentemente il medesimo codice e che vedono l'esatta coincidenza della stringa generata rispetto alla data ed ora in cui e' stato testato lo script.
Attualmente il link comunque non punta a sito online anche perche' probabilmente non si tratta di un attacco attualmente attivo ma abbastanza datato.
A questo link potete trovare un esauriente post pubblicato nel luglio 2012 da Sophos e dal titolo “Pseudorandom domain name generation and the Blackhole exploit kit” che illustra nei dettagli la tecnica utilizzata, vista nell'odierno codice incluso su sito IT.
Edgar
Nessun commento:
Posta un commento