martedì 22 gennaio 2013

Malicious iframe injection BlackHole su siti IT (22 gennaio)

Sono sempre numerosi i siti IT che una ricerca in rete mostra compromessi, probabilmente in data recente, attraverso una iframe injection.
Si tratta di codice che una scansione online dei siti colpiti identifica come redirigere ad exploit kit blackhole 
C'e' comunque da rilevare come un buon numero di siti compromessi non risulti piu' essere pericoloso per chi li visiti e  questo non perche' sia stato bonificato ma semplicemente perche' il redirect punta a sito di distribuzione malware non piu' online od attivo.
In ogni caso ci sono online parecchi siti che, con lo stesso codice offuscato incluso, sono attualmente attivi nel linkare a pagina BlackHole perfettamente funzionante.
Di solito i links presenti nel codice offuscato 'iniettato' nel sito colpito, rimangono attivi solo per poche ore o al limite per qualche giorno, e questo per evitare eventuali blacklist.

Vediamo alcuni dettagli:

Questo un sito IT rilevato nei giorni scorsi 


il cui sorgente mostra


Una analisi tramite siti di scansione online rivela


ed anche


Notate come il sito risulti adesso blacklistato da uno o piu' servizi online di analisi malware ed AV, cosa che, anche se il redirect a BlackHole non e' piu' attivo, compromette comunque la visibilita' e l'utilizzo del sito stesso da parte dei potenziali utenti che troveranno l'accesso bloccato o comunque messaggi di avviso indicanti il pericolo.

Sullo stesso IP troviamo inoltre questo sito 


con un codice incluso simile al precedente, ed anche blacklistato:


Ecco invece un attuale sito di hotel IT con codice incluso 


e che viene rilevato ad esempio da questa scansione online (notate anche che il sito e' blacklistato)


Come si vede si tratta sempre di un codice offuscato simile ai precedenti e che ritroviamo, tra i tanti, anche in questo sito di scuola IT.


Caso particolare che dimostra come il codice venga incluso in maniera capillare anche questa pagina di 'sito in manutenzione' con relativo codice offuscato.


Il codice deoffuscato mostra il semplice reindirizzamento alla pagina BlackHole attiva.


A dimostrazione che si tratta comunque di una distribuzione malware attualmente presente in rete e non di passate azioni, vediamo ad esempio questo sito non italiano


il cui codice, identico nella struttura a quelli visti prima, presenta 


e che VT vede come (in piccola parte dei softwares antivirus)


Il redirect punta a pagina attualmente raggiungibile 


e con codice BlackHole.
Dettaglio curioso, il nome dell'hoster ottenuto analizzando l'IP mostra molta similitudine alla classica denominazione di una diffusa categoria di malware (trojan)


Edgar

Nessun commento: