Gia documentata in precedenti post continua la presenza online di siti IT le cui pagine ospitano uno script nascosto che redirige a RedKit Exploit.
Anche se si tratta di malware presente da tempo in rete, sembra che la sua distribuzione continui intensa attraverso al consueta presenza di script java dalla tipica struttura.
Ecco alcuni dettagli:
Questa una attuale home-page di sito IT:
con codice html come
e che una analisi online dimostra essere
Altro sito IT (uno dei tanti colpiti)
con ancora
che viene rilevato come
Ecco infine un esempio di pagina linkata dallo script, dopo ulteriore redirect
da cui possiamo estrarre, ad esempio, un link a fake file PDF in realta'
Il fake PDF e' visto, al momento, da pochissimi software AV come
con
Anche in questi casi si nota una particolare cura nell'impedire l'analisi delle urls malevole, ad esempio reindirizzando il visitatore su ricerca Google, quando si interroga ripetutamente la pagina contenente i codici di exploits.
Edgar
Nessun commento:
Posta un commento