mercoledì 9 gennaio 2008

Massive embedded exploit attack

Come riporta www.heise-security.co.uk migliaia di pagine Web sono state infettate con links a codice malevolo ospitato su due domini cinesi (uno e' stato registrato recentemente il 28 dicembre 2007)
L'intento di questi codici e' quello di utilizzare problemi di sicurezza presenti in Internet Explorer e RealPlayer per scaricare ed eseguire malware.

Attraverso una ricerca Google di uc8010.com e ucmal.com che sono i due domini che hostano il file javascript offuscato si ottengono tra le 87.000 e 103.000 pagine e si stima che circa l' 80% di queste possano contenere lo script o il link allo script 0.js responsabile del problema.
Comunque c'e' da tenere conto che il sistema adottato potrebbe aver compromesso piu' pagine per uno stesso sito e quindi il numero totale potrebbe risultare molto minore rispetto a quello ottenuto con una ricerca su Google.

Un po tutte le tipologie di sito da quello commerciale, educativo e di servizio pubblico sono cadute vittima di questo attacco che non pare mirato ad un particolare genere, inoltre sembra che i domini piu' colpiti siano quelli .cn

L'analisi del blog Dancho Danchev mostra che, oltre un exploit per una vulnerabilita' di RealPlayer e' anche richiamato un vecchio exploit che sfrutta un problema di sicurezza di Internet Explorer (CVE-2006-0003, MDAC).
Non si puo' comunque escludere che si utilizzi anche qualche vulnerabilita' zeroday ancora non patchata.

Il file javascript viene scaricato dal sito uc8010.com/0.js o ucmal.com/0.js .
A sua volta quando eseguito questo javascript visualizza il messaggio "ok ^ _ ^" e scarica lo script w.js, offuscato e continua la sequenza di download di exploit ( RealPlayer e MDAC ) .
Non e' ancora chiaro in che modo questo malware si sia diffuso cosi' rapidamente, anche se Heise ritiene che si sia sfruttato un meccanismo automatico costituito da spider web che cerca di iniettare l'html sfruttando qualche vulnerabilita' nota.

Heise continua scrivendo che alcuni dei componenti del malware sono gia' rilevabili dagli attuali antivirus. Come JS / Agent.cge, e "Trojan-Downloader".

Al momento sembra che i siti dai quali vengono scaricati gli exploit siano stati messi offline e una ricerca con Google attivando un filtro per data ci dice che ultimamente non sembrano essere stati attacati nuovi siti.

Edgar

Nessun commento: