L'attaco odierno, di cui il sito TG2 RAi, e' stato il piu clamoroso bersaglio, ha scaricato nei siti colpiti quantita' 'industriali' (fino a quasi 600 codici) di un javascript che esgue un link automatico a
che si trova ostato su server cinese
Questo il dettaglio dello script, che viene linkato e che andiamo a decodificare
Il risultato e' un'altro script che distingue tra il linguaggio utilizzato; se il linguaggio utilizzato dal browser e' diverso da quello cinese viene eseguito un link in automatico
ad una pagina sempre con whois Cina
Questo e il dettaglio della pagina linkata
che presenta oltre ad un 'colorito' messaggio anche vari iframes che contengono diversi exploit
Alcuni contenuti si possono gia' catalogare dal nome stesso dell'iframe come ad esempio quello denominato real che contiene exploit (gia' noto) che sfrutta vulnerabilita' real player (si puo' vedere che l exploit testa differenti versioni del noto lettore multimediale)
Inoltre altri codici colpiscono vulnerabilita' MDAC ecc ..
In ogni caso l'attacco odierno, sembra che si sia risolto piu' che altro in una azione dimostrativa in quanto, come gia' detto, il fatto che le pagine dei siti colpiti siano state rese praticamente non visualizzabili dal caotico inserimento dei codici pericolosi, ha reso impossibile attuare una diffusione in maniera nascosta del malware.
In altre parole i danni sarebbero stati piu' elevati se anche 'iniettando' nei siti un solo script lo si fosse fatto in maniera del tutto invisibile per chi visitava le pagine colpendo cosi' sicuramente molti piu' utenti Internet.
Edgar
che si trova ostato su server cinese
Questo il dettaglio dello script, che viene linkato e che andiamo a decodificare
Il risultato e' un'altro script che distingue tra il linguaggio utilizzato; se il linguaggio utilizzato dal browser e' diverso da quello cinese viene eseguito un link in automatico
ad una pagina sempre con whois Cina
Questo e il dettaglio della pagina linkata
che presenta oltre ad un 'colorito' messaggio anche vari iframes che contengono diversi exploit
Alcuni contenuti si possono gia' catalogare dal nome stesso dell'iframe come ad esempio quello denominato real che contiene exploit (gia' noto) che sfrutta vulnerabilita' real player (si puo' vedere che l exploit testa differenti versioni del noto lettore multimediale)Inoltre altri codici colpiscono vulnerabilita' MDAC ecc ..
In ogni caso l'attacco odierno, sembra che si sia risolto piu' che altro in una azione dimostrativa in quanto, come gia' detto, il fatto che le pagine dei siti colpiti siano state rese praticamente non visualizzabili dal caotico inserimento dei codici pericolosi, ha reso impossibile attuare una diffusione in maniera nascosta del malware.
In altre parole i danni sarebbero stati piu' elevati se anche 'iniettando' nei siti un solo script lo si fosse fatto in maniera del tutto invisibile per chi visitava le pagine colpendo cosi' sicuramente molti piu' utenti Internet.
Edgar
Nessun commento:
Posta un commento