mercoledì 6 marzo 2013

Ancora siti IT con la presenza di script associabili a RedKit exploit (5-6 marzo)


Gia documentata in precedenti post continua la presenza online di siti IT le cui pagine ospitano uno script nascosto che redirige a RedKit Exploit.
Anche se si tratta di malware presente da tempo in rete, sembra che la sua distribuzione continui intensa attraverso al consueta presenza di script java dalla tipica struttura.
Ecco alcuni dettagli:

Questa una attuale home-page di sito IT:




con codice html come


e che una analisi online dimostra essere


Altro sito IT (uno dei tanti colpiti)


con ancora


che viene rilevato come


Ecco infine un esempio di pagina linkata dallo script, dopo ulteriore redirect


da cui  possiamo estrarre, ad esempio, un link a fake file PDF in realta'


Il fake PDF e' visto, al momento, da pochissimi software AV come


con


Anche in questi casi si nota una particolare cura nell'impedire l'analisi delle urls malevole, ad esempio reindirizzando il visitatore su ricerca Google, quando si interroga ripetutamente la pagina contenente i codici di exploits.

Edgar

Nessun commento: