E' passata una decina di giorni dalla pubblicazione di questo post ma non sembra diminuire il numero di siti IT vittima di una inclusione di script malevolo offuscato con redirect a contenuti exploit BlackHole.
La ricerca in rete mostra che sono molti i siti IT attualmente colpiti e su differenti IP a significare che gli attacchi sono diffusi oltre il singolo hoster.
Molti dei link a exploit gestiti dai codici offuscati sembrano fortunatamente non puntare piu' a siti raggiungibili ma rimane il fatto che per alcune ore (o giorni) gli stessi link hanno potuto redirigere a codici exploits in grado forse di compromettere il PC del visitatore.
Ecco alcuni screenshot di siti IT che attualmente 'ospitano' il codice offuscato (non necessariamente capace di linkare sito con exploit come scritto sopra):
Sito di hotel italiano
con IP
Sito IT di vendita online
con IP
Sito personale di fotografo
con IP
Sito di esercizio commerciale
con IP
Come si nota tutti i codici inclusi presentano tipica struttura gia' vista in passato e puntano a siti compromessi che distribuiscono (o distribuivano) exploits BlackHole.
Per stabilire con una certa approssimazione il periodo in cui i siti sono stati attaccati e compromessi vediamo ad esempio gli headers di un di questi che mostra data di ultima modifica a pochi giorni fa (forse data della inclusione del codice)
ma anche da una ricerca in rete possiamo vedere che le date di indicizzazione del codice malevolo risalgono a pochi giorni od a ore:
Questo potrebbe voler dire che l'inclusione del codice e' attuale come ad esempio per questo sito di Istituto Scolastico italiano.
Ecco i risultati della ricerca in rete
dove si nota data recente oppure indicizzazione da qualche ora per i contenuti (codice incluso offuscato), mentre questa la pagina linkata, dove, tra l'altro, compare una data di aggiornamento dei contenuti del sito riferita a ieri (31 gennaio).
Questo potrebbe anche voler dire che chi aggiorna il sito non e' probabilmente a conoscenza degli script inclusi.
Ecco invece un frammento dl source della pagina in questione con ben 2 inclusioni di codice malevolo.
A riprova della inclusione non solo sulla homepage ma 'a tappeto' su tutto il sito vediamo una ricerca filtrata per URL che mostra una notevole quatita' di risultati che puntano al codice offusucato
con
con
Edgar
Nessun commento:
Posta un commento