Ricordo sempre che anche se alcuni links sono lasciati in chiaro negli screenshot, evitate di visitare i siti in questione se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc....) !!!!
Anche se sembrerebbe pagina compromessa gia' da tempo gli script presenti puntano tuttora a siti attivi nel distribuire malare.
Si tratta infatti di una serie di redirect ottenuti attraverso una lunga catena di javascript offuscati presenti su questo sito .IT ma hostato su server USA
Ecco il source del sito con lo script offuscato iniziale
che dopo una prima decodifica
notiamo puntare a sito con IP
Sul sito a cui si viene rediretti dallo script abbiamo nuovamente uno script che deoffuscato
ci mostra 2 links differenti sempre sul medesimo server.
Esaminando il primo link possiamo vedere che eseguendolo siamo portati su nuova pagina con ulteriore script offuscato
che propone 'finalmente ' il link a pagina che tenta il download di questo file .pdf
in realta' exploit PDF.
La pagina finale a cui si e' rediretti presenta diverso whois dalle precedenti e precisamente
Inutile dire che l'utilizzo dell'addon Noscript sotto Firefox garantisce una buona protezione da questo genere di problemi quando si visitano siti che sono compromessi con l'inserimento di codici pericolosi sotto forma di script java o links a malware.
Edgar
Anche se sembrerebbe pagina compromessa gia' da tempo gli script presenti puntano tuttora a siti attivi nel distribuire malare.
Si tratta infatti di una serie di redirect ottenuti attraverso una lunga catena di javascript offuscati presenti su questo sito .IT ma hostato su server USA
Ecco il source del sito con lo script offuscato iniziale
che dopo una prima decodifica
notiamo puntare a sito con IP
Sul sito a cui si viene rediretti dallo script abbiamo nuovamente uno script che deoffuscato
ci mostra 2 links differenti sempre sul medesimo server.Esaminando il primo link possiamo vedere che eseguendolo siamo portati su nuova pagina con ulteriore script offuscato
che propone 'finalmente ' il link a pagina che tenta il download di questo file .pdf
in realta' exploit PDF.La pagina finale a cui si e' rediretti presenta diverso whois dalle precedenti e precisamente
Inutile dire che l'utilizzo dell'addon Noscript sotto Firefox garantisce una buona protezione da questo genere di problemi quando si visitano siti che sono compromessi con l'inserimento di codici pericolosi sotto forma di script java o links a malware.Edgar
Nessun commento:
Posta un commento