domenica 25 marzo 2012

Un 'catalogo.PDF' molto particolare. (25 marzo)

Segnalata in rete su diversi siti che si occupano di catalogare attacchi di hacking, distribuzione malware ecc... come ad esempio

ma anche

una azione di hacking ai danni di sito di editore IT, che mostra particolari caratteristiche.

Si tratta infatti di sito compromesso ma che non evidenzia evidenti modifiche al layout, presentando solamente un logo 'dubbio' incluso in basso nella homepage

ed in altre pagine

e che parrebbe essere attribuibile agli hackers che hanno compromesso il sito.

Piu interessante e' quello che succede attualmente cliccando sulla opzione presente in ogni pagina, per scaricare il catalogo in formato PDF

Viene infatti proposto un file PDF ,

tra l'altro di dimensioni abbastanza ridotte per un catalogo, che pero' non puo' essere eseguito dal reader PDF.

In effetti se esaminiamo i contenuti del fake PDF troviamo

che evidenziano trattarsi di codice di shell php.
Per conferma basta ridenominare il file PDF in php ed eseguirlo opportunamente per ottenere

cosa che conferma il codice di shell php.

Resta da vedere come mai a distanza di ameno due giorni dalla segnalazione on-line, il fake catalogo sia ancora distribuito dal sito anche se lo stesso sito parrebbe essere aggiornato nei vari argomenti, news ecc trattati e quindi attualmente attivo ed amministrato.

Per quanto si riferisce alla pericolosita' del fake PDF da una sommaria analisi non dovrebbero esserci grossi problemi per chi scaricasse il file in quanto lo stesso non viene eseguito dal PDF reader ed e' comunque ben individuato come shell php dai softwares AV su VT.

Da notare che comunque non tutti i softwares AV riconoscono il codice di shell php presente.

Da considerare anche che chi ha compromesso il sito avrebbe potuto linkare codice molto piu' pericoloso quale ad es. eseguibile malware, cosa che avrebbe potuto creare problemi per per chi avesse scaricato il fake catalogo, ed inoltre sino a bonifica del sito c'e' sempre la possibilta' che i contenuti del fake pdf vengano modificati nuovamente, passando a codice piu' pericoloso.

L'editore in questione e' stato avvisato via mail dell'hacking del sito.

Edgar

Nessun commento: