martedì 16 agosto 2011

Siti .IT OsCommerce compromessi. Analisi con VT e Wepawet (16 agosto)

AVVISO IMPORTANTE! Ricordo che anche se alcuni links sono lasciati in chiaro sia su MDL che negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso ! Si tratta di pagine e siti dai contenuti poco affidabili con presenza di scripts ed exploits attualmente attivi ed anche in parte poco riconosciuti dai software AV.

Su MDL compare un interessante post al riguardo di siti che utilizzano la piattaforma di commercio elettronico OsCommerce che, come gia' visto in questo post, sono stati compromessi attraverso l'inclusione di codice malevolo con redirect ad exploit.(probabile uso del Blackhole exploit kit)

Tra l'altro anche una ricerca in data odierna (16 agosto) e non limitata a siti solo IT, vede migliaia di risultati e per di piu' con time di indicizzazione Google a poche ore

cosa che dimostra quantomeno che si tratta di un attacco ancora ben attivo.

Sempre sul post di MDL appare anche un recente aggiornamento alla data del 14 agosto con un lungo elenco di siti compromessi OsCommerce tra cui anche alcuni IT.

Estraendo da tale elenco solo quelli IT e passando il file a script Autoit possiamo verificare, scaricando in automatico i sorgenti, la presenza di eventuali script malevoli.

Questo il report che mostra diversi siti IT attualmente compromessi

e di cui esaminiamo l'attuale codice di questa pagina di Commercio On line.

Una iniziale analisi Virus Total del source mostra qualche indizio sulla presenza di codice malevolo


In dettaglio, lo script iniettato nella pagina, e visualizzato nel report Webscanner

se caricato punta a codice debolmente offuscato

residente su sito compromesso canadese

e sempre di OsCommerce

Una ricerca approfondita dei contenuti del sito canadese dimostra come lo stesso sia stato anche utilizzato per phishing ai danni di banca USA

Tornando all'attacco attuale, in pratica le vulnerabilita' di versioni non aggiornate di OsCommerce servono sia per hostare gli script malevoli di redirect ma anche, come si vede, quelli offuscati di ulteriore reindirizzamento ad exploits.

Per brevita' passiamo solo il codice offuscato al noto servizio di analisi delle minacce via web Wepawet, ottenendo

A questo punto possiamo caricare l'url presente nel codice de-offuscato che punta a

con whois


Si tratta di dominio comunque creato molto di recente e forse al solo scopo di ospitare codici malevoli

Per verificare i contenuti offuscati presenti

ci viene ancora in aiuto Wepawet che mostra

e da cui possiamo estrarre

che passiamo a Virus Total

Un fake PDF:

e

ed ancora

Come si nota, almeno nel caso della singola analisi dei files, i codici pericolosi non sembrano poi molto riconosciuti dai softwares AV.

Edgar

Nessun commento: