Una ricerca su siti IT permette attualmente di rilevare ancora attacchi legati a Black-Hole Exploit e che, esaminando le date presenti, parrebbero risalire a non piu' di qualche giorno fa.
Ecco ad esempio come appare
un codice incluso (in alto un dettaglio degli headers)![](//2.bp.blogspot.com/-AVQ0HsoHpE0/T4kUHzLvifI/AAAAAAAApIg/0x6jmd6ICxs/s320/analisi%2Bsito%2Bit.jpg)
all'interno di
sito di ambasciata in Italia di noto stato africano e di cui vediamo un
particolare della homepage![](//2.bp.blogspot.com/-ndcSFYrIBDQ/T4kTyJ-q__I/AAAAAAAApIU/h-sMh-nPghw/s320/embhome.jpg)
Il codice incluso nel sito genera
questa tipica pagina dal noto layout Black-Hole![](//4.bp.blogspot.com/-9A6qvK5Jxy0/T4kTwaHTNnI/AAAAAAAApII/isI0kIQ37N4/s320/embassy%2Bof.jpg)
mentre , osservando gli headers, possiamo
valutare in data 12 Aprile il momento della probabile inclusione del codice sul sito compromesso.![](//2.bp.blogspot.com/-AVQ0HsoHpE0/T4kUHzLvifI/AAAAAAAApIg/0x6jmd6ICxs/s320/analisi%2Bsito%2Bit.jpg)
La pagina presenta differenti links a ulteriori siti compromessi,
tra cui uno e' su dominio IT e sempre sul medesimo range IP di quello dell'ambasciata africana.
Come sempre la presenza da 3 ai 4 link garantisce una certa affidabilita' nel puntare a pagina con exploits attivi.
![](//4.bp.blogspot.com/-5LOnBL5lr3I/T4kUIUkjtBI/AAAAAAAApIs/alagygaQCt4/s320/red%2Be%2Bwh.jpg)
A sua volta ognuna delle 4 pagine linkate presentano il consueto redirect ad exploits
![](//3.bp.blogspot.com/-hnBf_u780Zg/T4kVYz4Yq4I/AAAAAAAApJE/0ZissPobB4A/s320/pawet.jpg)
C'e' anche da ricordare che un reverse IP sul range visto sopra porta a rilevare oltre al sito dell'ambasciata anche altri siti IT compromessi e tutti con inclusi alcun codici attribuibili a Black-Hole Exploit.
Questa una analisi Webscanner:
Edgar
Nessun commento:
Posta un commento