giovedì 31 luglio 2008

Aggiornamento sui siti .IT con falso player Flash

Nota importante: al momento di scrivere il post i siti citati sono tutti online e con malware ed eventuali exploits attivi. Massima cautela quindi se si vuole visitare i link presentati.

Continua la presenza in rete di siti .IT contenenti una pagina nascosta con il link ad un falso aggiornamento flash player


Dalle ultime ricerche in rete sembra anzi che il numero di siti colpiti sia in leggero aumento.

In ogni caso, come gia' successo per i recenti attacchi di sql injection, alcuni di questi siti, evidentemente sui quali non si e' provveduto a eliminare la vulnerabilita' presente, appaiono ripetutamente compromessi con l'aggiunta di piu' codici di pagina pericolosa.
E' il caso ad esempio di risasnc(dot)it che presenta ben 3 pagine aggiunte al suo interno.
Questi i 3 sorgenti relativi alle 3 pagine:



Tra l'altro, nel temtativo di rendere piu' pericoloso il contenuto della pagina, si nota come in una delle tre e' ora presente, oltre al falso player flash anche un iframe nascosto che contiene link a pagina con codice exploit di vario genere che sfrutta vulnerabilita' di players audio e video

Come si nota la pagina e' sempre inserita all'interno del sito colpito

Questo un report eseguito sui risultati di una ricerca in rete; in giallo i siti con la pagina che ospita anche l'iframe con exploit


Per quanto si riferisce al falso player Flash l'eseguibile presente in queste 3 pagine risulta lo stesso (file eseguibile sempre ospitato sul sito colpito) e, come sempre in questi casi, ben poco riconosciuto dai piu' noti softwares antivirus

Chiaramente il problema di queste pagine con falsi player flash non e' limitato a siti .IT ma coinvolge una grande quantita' di siti in rete come si puo vedere effettuando una ricerca ed i links a queste pagine nascoste sono sempre effettuati tramite mails di spam che riportano i piu svariati argomenti per incuriosire chi le riceve e indurlo a cliccare sul collegamento alla falsa pagina con malware.

Sembra quindi che il tipo di attacco miri a creare il maggior numero di siti contenti la pagina con il falso player e relativi links in mails di spam e per avere una certa efficacia il numero di siti colpiti debba continuamente essere aggiornato ed incrementato.
Infatti essendo, sia il sorgente della pagina che l'eseguibile malware, ospitati entrambi sul sito compromesso non e' possibile, per chi gestisce l'attacco, aggiornare i codici malware su server remoto ed in continuo come succede ad esempio per le false pagine youtube con player video malware (zlob e varianti).

Precedenti post sullo stesso argomento:

Watch Free Movie - Update Every Hour!

Aggiornamento falso flash player e siti .IT colpiti

'iPhone 3G' e 'New relevations about September 11th conspiracy'

Edgar

Nessun commento: