martedì 14 aprile 2009

Tutto compreso

Si tratta di una singolare pagina linkata da centinaia di pagine nascoste ospitate da sito .IT compromesso.

La particolarita' e' che questa volta i creatori di links a malware hanno combinato in una sola pagina sia una falsa applicazione AV che un links a pagina con exploit che tenta di scaricare malware sul pc.

Vediamo i dettagli, ricordando sempre che anche se alcuni links sono lasciati in chiaro negli screenshot, evitate di visitare i siti in questione se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc....) !!!!

Ecco il sito compromesso e tuttora attivo di Istituto Scolastico italiano che presenta il problema molto diffuso di pagine inserite al suo interno in maniera nascosta

Il contenuto nascosto e' costituito da qualche centinaio di pagine

come questa che vediamo in dettaglio

Il codice sorgente in ognuna di queste pagine mostra la presenza di link a javascript

che una volta in esecuzione punta a sito che redirige poi su questa pagina di cui vediamo un dettaglio del codice sorgente

Come si puo' notare sono presenti due codici di iframe (uno dei quali genera iframe nascosto) che linkano rispettivamente a fake Av ed a pagina con exploit (quello nascosto).

In pratica chi visitasse la pagina in questione e presentasse il pc vulnerabile all'exploit linkato avrebbe oltre al danno di vedersi il computer compromesso anche la beffa della presenza del falso scanner antivirus.

Ecco come viene visualizzata la pagina sul browser

dove notiamo sia la falsa applicazione Av (iframe in chiaro) che l'icona aggiunta da Noscript che evidenzia lo script nascosto.

Per quanto si riferisce al falso scanner Av online questo e' il risultato di una analisi VT

che dimostra lo scarso riconoscimento del software antivirus fasullo.

Se andiamo invece ad analizzare il link contenuto nell'iframe nascosto vediamo che punta a pagina che contiene questo ulteriore javascript offuscato.

Analizzando la natura dello script vediamo che si tratta di noto exploit gia' presente da tempo e che sfrutta vulnerabilita conosciuta (analisi Wepawet)


Questo un dettaglio del file malware linkato dal codice dell'exploit


e che esaminato con VT

dimostra lo scarsissimo riconoscimento, sempre per quanto si riferisce a scansione online on-demand VT.

Interessante notare che sempre sul medesimo range IP a cui appartiene la pagina con exploit esiste un altro indirizzo IP

che punta anch'esso a pagina con exploit simile a quello visto ora.

Un whois delle diverse pagine viste ora che distribuiscono malware o fake Av punta a siti hostati su dominio tedesco.

Edgar

5 commenti:

Murack ha detto...

ciao Edgar,

innanzitutto complimenti x il tuo lavoro e per il blog, che seguo oramai da anni

volevo sapere se potevi mandarmi in pvt il sito compromesso della scuola: vorrei fare un piccolo test (sotto VM e con tutte le precauzioni del caso)

grazie

ciao

Edgar Bangkok ha detto...

Lascia un commento con una mail a cui possa inviare l'url del sito (creane una usa e getta visto che postandola qui sara' vista da un po' di gente)
Edgar

Murack ha detto...

gentilissimo

l'email è questa:
OaZyjp7TuHFkvLyX@spambox.us

grazie e ciao :)

Edgar Bangkok ha detto...

Avevo pensato di pubblivare in un commento al post l'indirizzo in chiaro, ma visto da ulteriori analisi mi sembra veramente una pagina colma di script ed exploit pericolosi forse e' meglio non diffonderla ....troppo ... ... :)

Visto che la mail temporanea con l'indirizzo del sito che ti ho inviato e' tornata al mittente ... :) evidentemente era scaduta la validita' della mail temporanea..

Mandane una nuova che duri un poco di piu' e comunque lascio il commento invisibile e quindi puoi mandare anche una mail non temporanea.... ma normale

edgar

Murack ha detto...

ciao e grazie di tutto

ho ricevuto il link

ho fatto una prova flash sotto sandboxie, e grazie al suo drop my rights, sembra venir bloccato il tutto, a meno che poi nn si acconsente...

complimenti x tutto

ciao :)